Professional Documents
Culture Documents
1. Introducción. El spam.
En este bloque del proyecto vamos a abordar el problema del spam profundidad,
comenzando por exponer más detalladamente ante qué tipo de problema estamos y sus
efectos. Posteriormente haremos un análisis desde distintos puntos de vista, y para
finalizar, estudiaremos las medidas que se están tomando para combatirlo. En el bloque
II de este trabajo ya tocamos ligeramente el tema, encuadrándolo dentro de las formas
de publicidad abusiva mediante Internet. De hecho, desde nuestra opinión, se trata de la
forma de publicidad que representa un mayor abuso.
No hay lugar a dudas de que, junto con los virus, el spam es en la actualidad uno
de los principales problemas de Internet. Un porcentaje cada vez más alto de todos los
mensajes de correo electrónico que se envían y reciben mediante Internet (a fecha de
febrero de 2004 era del 62%126) son anuncios de Viagra, páginas pornográficas o
programas informáticos con el precio muy rebajado, porque son “piratas”. Esta
tendencia, que los expertos predicen que aumentará espectacularmente durante este año,
puede hacer que en un futuro próximo el número de usuarios del correo electrónico, tal
y como hoy en día se concibe, decrezca en lugar de aumentar ya que se podría llegar
incluso a inutilizar el servicio. Si a todo esto añadimos la actitud agresiva con la que
actúan últimamente los spammers, que vienen utilizando virus para convertir las propias
máquinas de los usuarios en emisoras de spam, y atacan a los proyectos que luchan
contra el spam, tenemos ante nosotros un problema de gran envergadura y de difícil
126
Cifras tomadas de un estudio realizado por la compañía Brightmail, consultar el apartado
2.1.3., “Cantidad de spam que circula en Internet.”.
solución, que merece la pena analizar en profundidad, dado que hasta hace pocos meses
era desconocido para el internauta medio no especializado.
Recientemente, un estudio llevado a cabo por la Trans Atlantic Consumer
Dialogue127 (TACD, que se autodefine como un foro de 65 entidades europeas y
norteamericanas de defensa del consumidor) revelaba que el número de usuarios que
realiza compras on line ha decrecido por miedo al spam, tendencia que puede
agudizarse en un futuro. Y es que a los internautas les está haciendo cada vez menos
gracia tener que dar su dirección de correo electrónico para registrarse en un sitio web, o
para hacer una compra on line, sea en el sitio web que sea. Por tanto estos resultados
ponen de manifiesto que el spam está provocando el freno de la confianza de los
internautas y consumidores on line en el comercio electrónico, y en Internet en general.
Esta es la segunda razón por la que incluir el análisis de este problema en el proyecto.
Por último, el spam es uno de los principales abusos del correo electrónico, y por
tanto de Internet128, que en este caso se usa como forma de promoción de negocios
electrónicos (tema central de este trabajo).
En efecto, el spam representa un abuso por una parte en los receptores de los
mensajes, que se ven afectados desde el punto de vista de costes económicos, al tener
que hacer frente al gasto (en tiempo y dinero de la recepción de estos mensajes) lo
quieran o no, así como de costes sociales. Las implicaciones en el ámbito social se
derivan de la molestia y ofensa asociada a determinados contenidos y a la inhibición del
derecho a publicar la propia dirección en medios como listas de noticias o páginas web,
por ejemplo, por miedo a que sea capturada. Por tanto, el spam viola los derechos de los
receptores por múltiples razones, entre ellas la intrusión y la violación de la intimidad.
Por otra parte, el spam también representa un problema para los PSIs implicados
en proporcionar el servicio de correo electrónico, que se deriva del afronte de grandes
gastos. Éstos vienen dados por el consumo extra de recursos informáticos, el ancho de
banda requerido para el procesamiento y entrega de miles de mensajes, y sobre todo, por
el tiempo adicional de personal dedicado a solucionar estos problemas en situaciones de
saturación. En efecto, ellos deben hacer frente a la mayor parte del coste por una
publicidad que sólo revierte inconvenientes tanto para ellos como para los usuarios.
127
Dada la importancia que tienen los resultados que arroja este estudio, el cual se ha realizado a
usuarios de 36 países, ha sido incluido como anexo a este trabajo para que pueda consultarse con
facilidad.
128
Esta opinión también es compartida por la organización RedIris, quien considera que el spam
se encuentra entre los principales Abusos en el Correo Electrónico (ACE). En su página web
(www.rediris.com), RedIris agrupa los Abusos en el Correo Electrónico (ACE) en cuatro tipos: difusión
de contenido inadecuado, difusión a través de canales no autorizados, difusión masiva no autorizada, y
ataques con objeto de imposibilitar o dificultar el servicio. El spam incurre en los tres últimos tipos de
abusos.
129
La S 1618 ES, en su propuesta para el 105 Congreso de los Estados Unidos, en su sección 306
nos da una definición de lo que designamos “spam mail” o mensajes spam. La incluimos a continuación
de forma textual:
The term “commercial electronic mail” means any electronic mail that:
a) Contains an advertisement for the sale of a product or service;
b) Contains a solicitation for the use of a telephone number, the use of which connects the user
to a person or service that advertises the sale of or sells a product or service; or
c) Promotes the use of or contains a list of one or more Internet sites that contain an
advertisement referred to in subparagraph (a) or a solicitation referred to in subparagraph
(b).
130
Las principales ideas sobre los tipos de abusos del correo electrónico se ha tomado del sitio
web http://members.aol.com, y en concreto de la publicación “Email Abuse FAQ”.
131
Consultar el apartado 2.1.2.1., “Categorías de spam”, en el que se dan cifras sobre los temas
que abarca el spam.
132
Datos obtenidos del estudio “Spam E-mail and Its Impact on IT Spending and Productivity”
(diciembre de 2003), Spira, J. B., realizado por Basex Inc., www.basex.com.
133
Los dueños de la marca Hormel Foods, en Minessota, no registraron la palabra spam como
marca, por lo que a efectos legales no pueden denunciar su uso para designar a cualquier otra cosa que no
sea su producto. Por ello, en su página web ruegan al público que cuando se refieran a su producto de
carne enlatada lo hagan con mayúsculas (SPAM), para distinguirla del correo electrónico basura, spam.
Este es el motivo por el que en solidaridad con Hormel Foods, hemos incluido la palabra SPAM con
mayúsculas, para referirnos a la carne enlatada y con minúsculas para referirnos al correo electrónico no
deseado.
134
Datos obtenidos de “Spam E-mail and Its Impact on IT Spending and Productivity”
(diciembre de 2003), Spira, J. B., realizado por Basex Inc., www.basex.com.
135
Consultar el apartado 2.1.3., “Cantidad de spam que circula en Internet”.
136
Según la organización RedIris, en su artículo “Abuso en el Correo Electrónico”, se expresa
que igualmente representa un abuso del correo electrónico el hecho simplemente de usar estafetas ajenas
y no públicas sin su consentimiento para reenviar correo propio, aunque éste sea legítimo.
137
Consultar el apartado 2.3.2., “El problema e implicaciones de los servidores abiertos.”
138
El tema de las listas negras será tratado en el apartado 4.1.2. (“Métodos basados en listas
negras”).
139
Consultar el apartado 2.1.6., “Las cifras del negocio de los spammers”, para más información
al respecto.
140
Más adelante, en el apartado 1.5., “Ejemplos de estafas, prácticas fraudulentas y engañosas
que realizan los spammers”, se puede comprobar dicha afirmación mediante una serie de ejemplos reales.
141
Según Eileen Harrington, director asociado de la FTC. Datos obtenidos del artículo “Dos
tercios del 'spam'que recibimos son fraudulentos”, www.iblnews.com.
Casi todos son productos inútiles que no merecen la pena o que son ilegales, ya
sea por su naturaleza, o porque es ilegal promocionarlo en medios comunes en los que
hay que pagar un precio por el coste del anuncio, pues están sujetos a una legislación142.
Es ilegal.
Tanto el método usado para recopilar las direcciones de correo electrónico
víctimas, como el propio hecho del envío masivo de mensajes, son combatidos por la
mayoría de países y colectivos que trabajan en la red. En algunos países como en
España, es ilegal desde la entrada en vigor de la LSSICE, además de que en la mayoría
de las ocasiones, la dirección de correo electrónico se considera como dato personal
según la LOPD143, por lo que se estaría incurriendo en una violación de la intimidad.
Cuando hemos comentados los distintos abusos del correo electrónico y los
efectos del spam en esta introducción, hemos citado las consecuencias perjudiciales que
se derivan de su uso y los métodos fraudulentos que se utilizan para que el coste de los
envíos recaiga en otras personas. Todas las técnicas comentadas son ejemplos de estafas
que realizan los spammers145.
142
Consultar el apartado 3.1. del bloque II, en el que se indican unos breves apuntes sobre la
legislación que rige la publicidad.
143
Consultar el apartado 3.1. del bloque II de este trabajo en el que se analizaban las
consecuencias legales de este tema.
144
Según la definición de spam que hemos realizado en el apartado 1.2. (“Definición del spam”),
sería spam en cuanto a que se trata de un envío masivo no solicitado (a toda la lista), y en cuanto a que es
comercial.
145
Consultar el apartado 1.4., “Efectos del spam. Por qué es perjudicial”.
Por otra parte las estafas, fraudes y engaños que llevan a cabo los spammers,
pueden ser derivados del contenido de los mensajes, con lo que se realizan al receptor,
no al operador. El engaño puede llevarse a cabo mediante los campos de la cabecera, o
mediante el cuerpo del mensaje.
Los campos de los que consta la cabecera del mensaje, en la mayoría de las
ocasiones son falsos. En efecto, según las conclusiones de un estudio realizado por la
Comisión Federal del Comercio de Estados Unidos (FTC)146, el 33% del spam
analizado contiene información falsa en el campo “From:” (“De:”) y el 22% de los
mensajes contienen información falsa en el campo “Subject:” (“Asunto:”). La mayoría
de ellos sugieren una relación con el receptor del mensaje, para aportar credibilidad.
Así, el spam es un canal ideal para llegar a un público desprotegido al que es
más fácil de timar, como pueden ser niños, personas mayores o cualquier usuario
confiado. Aquí se han recopilado algunos de los engaños más comunes que se llevan a
cabo en el contenido del mensaje, que según la FTC contiene signos de falsedad en el
40% de los casos.
- Cartas en cadena y hoaxes. Las cartas en cadena que incluyen dinero, artículos
valiosos y prometen grandes beneficios son una estafa. Así, los usuarios que
empiezan una de estas cadenas o contribuyen a propagarla enviándola a alguien,
están contribuyendo a ese engaño. Los hoaxes también son un tipo de fraude, que
persigue ante todo conseguir direcciones de correo electrónico para enviar spam147.
- Trabajos desde casa. Los mensajes con ofertas para trabajar desde casa, a menudo
son un fraude e incumplen sus promesas, pues al final el usuario trabaja muchas
horas, asume costes de papel, fotocopias, y cualquier otro material necesario para el
trabajo, sin recibir nada a cambio. O a veces el beneficio recibido no compensa los
costes. En otras ocasiones, las compañías que encargan estos trabajos solicitan que
se abone una cantidad para recibir las instrucciones o los programas tutoriales que
nunca llegarán, y de aquí sacan su beneficio.
- Métodos para perder peso. Nos referimos con ello a los programas y productos que
promueven la pérdida de peso de manera rápida y sin esfuerzo. Todos los
testimonios y garantías que se dan en el mensaje no tienen ningún valor, por lo que
nunca se debe hacer caso de lo que digan. Además, concretamente estos temas,
deben siempre ser tratados por un médico.
- Créditos o préstamos. Se debe ser cauto con los e-mails que ofrezcan servicios
financieros por entidades no conocidas, pues prometen facilidad para concederlos
sin consultar la situación financiera en la que nos hallamos. Puede ser una manera
encubierta de conseguir el número de cuenta, por ejemplo y estafar al usuario.
- Contenidos para adultos. Los mensajes que ofrecen contenidos para adultos
gratuitos, pueden hacer que se instale un programa que desconecte la conexión a
Internet del usuario, y en su lugar redireccionar la conexión a algún número de
tarificación adicional o con prefijo internacional con precio mucho más alto y que
destine parte de éste al beneficio del estafador.
- Basados en la realización de llamadas. Estos anuncios ofrecen falsas participaciones
en concursos, superofertas o servicios que requieren de una llamada o enviar un fax
a un número de los servicios de tarificación adicional a través de los 803, 806 y 807,
(que antes se gestionaban a través de los 906 y 903), o con prefijo internacional.
146
“False Claims in Spam, a report by the FTC’s Division of Marketing Practices”, abril de
2003. Federal Trade Commission. Para más información sobre el tema, consultar el apartado 2.4. de este
trabajo, “Análisis de las cabeceras de los mensajes.”
147
Consultar el apartado 2.2.2., “Un método que conlleva además otros graves daños: el hoax”.
148
El estudio “Remove Me Surf”, realizado por la Federal Trade Comisión de EEUU, encontró
que 63% de las listas de e-mail no eran honestas con las peticiones de los usuarios de borrar su dirección
de la lista de envíos de spam.
149
Consultar el apartado 3.2. del bloque II, “Obtención de datos ilícitos con fines de marketing”.
2. Análisis.
2.1.1. Introducción.
2.1.2.1. Categorías.
150
El estudio realizado por la AUI se llevó a cabo durante el mes de abril de 2003, en el que se
recibió un total de 5.627 mensajes no solicitados recibidos en sus cuentas de correo electrónico. El
estudio de la Comisión Federal del Comercio de Estados Unidos de Estados Unidos, “False Claims in
Spam, a report by the FTC’s Division of Marketing Practices”, fue realizado en abril de 2003 analizando
1000 mensajes spam tomados de una muestra aleatoria de más de 11 millones de mensajes spam. Por
último, el estudio “Índice de Spam” realizado por la compañía norteamericana Clearswift en su tercera
edición (junio-agosto 2003) fue realizado para explicar las tendencias y usos del marketing directo a
través de Internet. Los resultados de este estudio han sido tomados del artículo “Los productos de
consumo y de salud son los que más utilizan el Spam”, www.noticiasdot.com.
Dado que los estudios estaban planteados desde diferentes perspectivas, para
poder establecer una comparación entre ellos se han distribuido los temas de manera
que los que se refieran a grupos similares queden colocados en la misma fila de la tabla.
Así en el estudio de Clearswift, se observa que los bienes de consumo representan el
tema con mayor porcentaje de spam observado, que podrían compararse con el
porcentaje de spam relacionado con ocio y vacaciones, así como con productos
relacionados con la informática e Internet. Los temas que se presentan en los tres
estudios con porcentajes similares son los contenidos pornográficos y los productos
financieros, por lo que no cabe lugar a dudas que se trata de dos grupos muy presentes
en el spam. Por otro lado, se observa que en Estados Unidos (estudios de la FTC y de
Clearswift) aproximadamente un 20% del spam está relacionado con temas de salud. En
el estudio realizado a usuarios españoles (AUI), es importante el porcentaje referido a
sorteos, casinos y juegos de azar (un 35%).
151
Esta gráfica ha sido obtenida de la página www.vanderreis.com, publicada con permiso de
Emarketer.com. La compañía que realizó el estudio fue MessageLabs, en marzo de 2003.
entre los 10 primeros países productores de spam, aún contando con una ley que lo
prohíbe152.
152
Consultar los apartados 3.1.1. del bloque II, “Legislación en torno a la comunicación o
promoción on line”, y 3.3.1.1. de este bloque, “Situación en España”.
153
Esta información ha sido obtenida del artículo “La UE anuncia medidas contra el '
spam'por la
desconfianza que causa” (27 de enero de 2004), www.elmundo.es/navegante.
154
Esta información ha sido obtenida del sitio web www.aui.es/contraelspam.
155
Esta cifra se ha calculado suponiendo que el crecimiento del spam se estancara en el 62%
para 2004 y que el número de mensajes en este año fuera igual que en 2003. Estas suposiciones apuntan
que la previsión es bastante conservadora.
156
“4ª encuesta a Usuarios de Internet de la AIMC febrero 2001” y “5ª encuesta a Usuarios de
Internet de la AIMC febrero 2002”. Las encuestas se realizaron a una base imponible de 43.592 usuarios
que poseen e-mail. Fue realizada en febrero de 2001 (4ª Encuesta) y en febrero de 2002 (5ª Encuesta) a
una muestra del EGM que es probabilística y representativa de la población española de 14 ó más años.
Tabla 12. Número de mensajes spam que reciben los usuarios. Fuente: AIMC, 2001 y 2002.
AIMC AIMC
¿Con qué frecuencia recibe mensajes no solicitados/deseados?
F-2001 F-2002
Más de uno al día 17,8 % 40,3 %
Uno al día 4,4 % 4,9 %
Varios a la semana 25,1 % 27,3 %
Uno a la semana 5,4 % 3,5 %
Varios al mes 13,2 % 9,3 %
Uno al mes 4,9 % 2,5 %
Con una frecuencia menor 14,9 % 7,6 %
Nunca he recibido ninguno 14,1 % 4,3 %
NS/NC 0,3 % 0,3 %
Ilustración 40. Frecuencia de lectura y número de mensajes spam recibidos por los usuarios.
Fuente: AUI, 2003.
157
Encuesta realizada por la Asociación de Usuarios de Internet (AUI) a través de su página web
(www.aui.es) entre abril y mayo de 2003, con un número de respuestas de 2054. Hay que tener en cuenta
que esta encuesta no es representativa de la población total española, al igual que la efectuada por la
AIMC, sino de un porcentaje de internautas experimentados y con interés sobre el tema, que navegan en
la página de esta asociación y que están lo suficientemente concienciados con el tema para rellenar la
encuesta, lo que indica que están claramente en contra del spam.
Estos resultados muestran que el spam no es sólo un problema que afecta a las
empresas, o a las cuentas de usuarios avanzados y administradores, cuyas cifras
exponíamos en el apartado anterior, sino que afecta a todos los usuarios. Así, los datos
nos indican que en Hotmail, el proveedor de correo web más utilizado de Internet con
110 millones de usuarios, transcurridos varios días de abrir una cuenta de correo
(aunque no se haya usado), el internauta podrá comprobar cómo el 80% de los mensajes
que recibe son spam158. Algo parecido ocurre con otros grandes proveedores, como
American Online, que indicó159 que bloquea unos 2.000 millones de mensajes de correo
masivo a diario, una media de 67 por cada cuenta de e-mail.
Este gran volumen de mensajes recibidos por los internautas, redunda en un
coste y en el empleo de tiempo en borrar y clasificar los mensajes no deseados. Así,
según Basex160, los usuarios gastan unos 15 minutos diarios en comprobar y borrar el
spam que les llega.
158
Datos obtenidos del artículo “¡Muerte al spam!” (30 de abril 2003), Rodríguez, G.,
www.libertaddigital.com.
159
“El volumen del correo masivo amenaza el futuro del ' e-mail'” (1 de mayo de 2003),
www.iblnews.com.
160
Dato obtenido del estudio “Spam E-mail and Its Impact on IT Spending and Productivity”
(diciembre de 2003), Spira, J. B., realizado por Basex Inc., www.basex.com.
161
“Spam E-mail and Its Impact on IT Spending and Productivity” (diciembre de 2003), Spira, J.
B., realizado por Basex Inc., www.basex.com.
162
Información obtenida de los artículos “El ' spam'cuesta 20.000 millones de dólares a las
empresas en todo el mundo” (30 de diciembre de 2003), www.elmundo.es/navegante y “¡Muerte al
spam!” (30 de abril 2003), Rodríguez, G., www.libertaddigital.com.
coste del spam ascendió a 9.000 millones de dólares, mientras que para las europeas
ascendió a los 2.500 millones. El cálculo realizado por la firma Ferris Research, tuvo
también en cuenta la utilización de ancho de banda, el uso de soporte técnico y la
pérdida de productividad del trabajador, que representaban aproximadamente un 40%
sobre el total de pérdidas financieras.
Estos datos han hecho que las compañías y los gobiernos, no sólo los
proveedores de servicio, se hayan tomado en serio este problema.
Los usuarios también deben hacer frente a los costes derivados del spam. Por un
lado indirectamente, puesto que si las compañías tienen que afrontar un gasto extra, esto
se traducirá en algunas ocasiones en un aumento de los precios de los servicios que les
presten.
De forma directa, el usuario también debe hacer frente a costes, sobre todo
derivados del tiempo que necesita para limpiar su buzón de spam. Podemos concluir que
éste no es nada despreciable, dados los datos de la cantidad de mensajes que reciben los
usuarios cada vez que abren su correo, expuestos anteriormente.
Como se ha deducido del análisis que se está llevando a cabo, todos nos vemos
afectados por el problema, aunque los afectados más directamente son las compañías,
debido a los grandes costes que deben afrontar. Sin embargo, desde el punto de vista de
este trabajo, lo más interesante es analizar cuál es la opinión de los internautas y cuáles
son sus reacciones ante el spam. Para conocer estos datos hemos llevado a cabo un
análisis de los resultados de varios estudios a los que haremos mención a lo largo de
este apartado, entre ellos, el del centro de investigaciones Pew Internet and American
Life Project163, los de la AIMC para los años 2001 y 2002, el de la AUI164, y el
realizado por TACD165. Se recomienda consultar este último estudio al completo en el
anexo de este trabajo, puesto que en mi opinión representa la opinión de los usuarios en
todo el mundo en relación al tema. Veamos pues las conclusiones de este análisis.
163
Estudio realizado en junio de 2003 entre 1.400 usuarios de Internet. Datos obtenidos del
artículo “Los internautas esconden sus direcciones e-mail por miedo al "spam"”, www.noticiasdot.com.
164
“4ª encuesta a Usuarios de Internet de la AIMC febrero 2001” y “5ª encuesta a Usuarios de
Internet de la AIMC febrero 2002”. Las encuestas se realizaron a una base imponible de 43592 usuarios
que poseen e-mail. Fue realizada en febrero de 2001 (4ª Encuesta) y en febrero de 2002 (5ª Encuesta) a
una muestra del EGM que es probabilística y representativa de la población española de 14 ó más años.
La encuesta fue realizada por la Asociación de Usuarios de Internet (AUI) a través de su página
web (www.aui.es) entre abril y mayo de 2003, con un número de respuestas de 2.054.
165
“Consumer Attitudes Regarding Unsolicited Commercial Email (Spam)”, octubre-diciembre
de 2003. Realizado por TACD (Transatlantic Consumer Dialogue), y obtenido de
http://www.tacd.org/docs/?id=225. TACD es un foro de 65 organizaciones de consumidores de la Unión
Europea y Estados Unidos, que desarrolla acuerdos trasatlánticos sobre recomendaciones a los gobiernos
europeos y estadounidenses en políticas comerciales. El estudio se realizó mediante una encuesta a
21.102 personas de 36 países. Se observa que los porcentajes de las respuestas de las personas de los
distintos países eran similares, por lo que se concluye que la opinión sobre el spam es global.
Como ya hemos dicho, los más afectados por el spam desde el punto de vista
económico son las grandes compañías y los proveedores de servicio de Internet. Por ello
en la mayoría de las ocasiones ellos sí tienen una visión más o menos adecuada de la
dimensión del problema. Sin embargo, los usuarios no están adecuadamente
informados.
Es interesante saber que a principios de 2003, el 69% de los usuarios españoles
de correo electrónico no sabía qué es el spam, según un estudio realizado por Yahoo166.
Este mismo indica que los usuarios españoles y los franceses son los que consultan su
correo electrónico con menos frecuencia en Europa. Curiosamente, el spam es la
primera causa de stress de los usuarios alemanes, por delante de los atascos de tráfico o
de las compras navideñas.
Sin embargo durante el año 2003, el espectacular aumento del correo electrónico
no deseado ha propiciado repercusiones en el concepto que los usuarios tienen del
correo electrónico. En efecto, todos los estudios consultados realizados durante el año
2003, coinciden que el usuario medio del correo electrónico opina que el spam es muy
molesto (entre un 96% y 92%). Además, según el estudio de Pew Internet and American
Life Project, la mitad de todos los usuarios de Internet encuestados dice que el spam, les
ha hecho tener menos confianza en todo el e-mail en general, mientras que uno de cada
cuatro señala que ahora usa el correo electrónico menos, debido al spam. La mayoría de
los encuestados dijo que no daba su dirección electrónica a los sitios web, en un
esfuerzo por mantenerse fuera de las listas de los spammers. El mismo sondeo encontró
que la mayoría siente que puede hacer poco para bloquear los mensajes que llegan a sus
buzones electrónicos todos los días, y más de la mitad dijo que la inundación de spam
hace difícil encontrar los mensajes que desean. Resultados similares se desprenden del
estudio realizado por TACD, en el que el 52% de los usuarios ha comprado menos o
nada en Internet debido a su preocupación por el spam.
Lo que más debería preocuparnos de los resultados de ambos estudios (ambos
coinciden en este punto), es el hecho de que aproximadamente la mitad de los usuarios
encuestados tiene menos confianza en Internet en general, lo que le ha llevado a
comprar menos a través de este medio y a usar menos el correo electrónico.
166
Información obtenida del artículo “Las cifras del correo basura”, A. B. F.,
www.elmundo.es/navegante.
167
La encuesta se realizó a una base imponible de 43.592 usuarios que poseen e-mail. Fue
realizada en febrero de 2001 y febrero de 2002 por AIMC a una muestra del EGM que es probabilística y
representativa de la población española de 14 ó más años.
para combatir el problema (72,6% en 2001 y el 83% en 2002). Veamos los resultados en
la siguiente tabla.
Tabla 13. Opinión de los usuarios acerca de posibles medidas para solucionar el problema del spam.
Fuente: AIMC, 2001 y 2002.
¿Con cuál de las siguientes respuestas está más de
F-2001 F-2002 F-2004
acuerdo en relación con el spam?
Dada su utilidad habría que promover su desarrollo. 3,8 % 3% 1,3%
No hacer nada. La situación está bien tal como está. 8,2 % 5% 2,9%
Debería prohibirse legalmente esta práctica. 21,7 % 30% 32,4%
Crear lista de empresas/personas que realizan estas
21,9 % 25% 25,6%
actividades para filtrar mensajes.
Crear registro con direcciones de aquellos que no
29 % 28% 30,4%
quieran recibir mensajes (lista Robinson).
No sé, no tengo opinión al respecto. 13,5 % 8% 6,6%
NS/NC 1,9 % 1% 0,8%
Ilustración 41. Opinión de los usuarios a cerca de qué organismo debería perseguir el spam en
España. Fuente: AUI, 2003.
Según TACD, el 62% de los usuarios encuestados dice que usa algún tipo de
filtrado como forma de combatir el spam, pero sólo el 17% afirma que funcionan bien.
Por último, hemos creído ilustrativo comentar algunas cifras que se barajan
acerca de las ganancias de los spammers, la tasa de respuesta que se deriva del spam,
etc. Hay que destacar que estas cifras no están soportadas por estudios objetivos (al
igual que en apartados anteriores), sino por testimonios y supuestas entrevistas a
spammers, por lo que se advierte que estos datos sólo deben tomarse a modo de
curiosidad.
Algo a destacar es la afirmación de Steve Linford, del proyecto Spamhaus
(www.spamhaus.org), con gran experiencia en la lucha contra el spam, que dice que 150
spammers son responsables del 90% del total del spam que circula.
En primer lugar, en el siguiente gráfico se demuestra cómo es de rentable
promocionarse mediante spam para cierto tipo de negocios. En el gráfico se aprecia la
evolución de visitas que experimentó un sitio web anónimo dedicado a la pornografía,
tras promocionarse mediante spam.
168
Los principales resultados de este estudio han sido obtenidos del artículo “La mayoría de los
cibernautas son víctimas del correo indeseado”, Tortello M. A., www.aui.es.
169
Consultar el siguiente apartado, 2.1.6., “Las cifras del negocio de los spammers”.
Ilustración 42. Tasa de visitas de un sitio web pornográfico tras promocionarse mediante spam.
Fuente: www.xtdnet.nl/paul/spam/ueff170.
170
Este gráfico es el resultado de un experimento que se realizó en 2003 por el UEFF (“United
Email Freedom Front”). Información obtenida de www.xtdnet.nl/paul/spam/ueff.
171
“Spam king lives large off others'e-mail troubles” (22 de noviembre de 2002), Wendland, M.,
http://www.freep.com/money/tech/mwend22_20021122.htm.
0,25%, es decir, 625.000 respuestas de los 250 millones de direcciones que contiene su
base de datos. Normalmente cobra una comisión por cada venta, pero ha conseguido
hasta 22.000 dólares por un único envío a las direcciones de su base de datos completa.
Él dice que no hace nada ilegal, y prefiere llamar a sus mensajes e-mail
marketing en lugar de spam. Asegura respetar el opt-out y ser fiel a la regla de no enviar
ningún mensaje con contenido pornográfico. Por ello borra de su base de datos cada día
1.000 direcciones que solicitan no recibir más mensajes publicitarios, y las conserva en
otra base de datos que contiene 89 millones de direcciones.
Otras fuentes172 nos indican que lo que cobra un spammer por cada venta que
consigue, o por realizar un envío a un determinado número de direcciones de correo
electrónico, puede variar mucho. Por ejemplo, según la empresa Symantec un spammer
medio puede cobrar 1.500 euros por mandar un millón de mensajes.
Los datos con respecto a la tasa de respuesta oscilan desde 0,001% a 0,25% (es
decir, de 10 a 250 respuestas por cada millón de mensajes enviados).
Los costes a los que tienen que hacer frente los spammers, según la compañía
Emarketer173, son en media de 0,00032 céntimos por cada spam enviado, es decir 3,2
dólares por cada millón de mensajes enviados. Si volvemos a las cifras del spammer
Ralsky, le costaría 800 dólares cada envío a todas sus direcciones de la base de datos.
Sin embargo esta cifra (0,00032 ctm/spam) es muy optimista. Según otros datos174, el
coste estaría en torno a los 250 dólares por cada 500.000 de envíos (0,05 céntimos por
mensaje, aunque esta cifra no sería extensible a más mensajes, puesto que el coste se
iría reduciendo cuanto mayor fuera el número de mensajes enviados).
Estas cifras nos hacen llegar a dos conclusiones:
- Las tasas de respuesta del spam son muy bajas, pero no lo son tales para que el
spam no sea rentable, tanto para la empresa anunciante, como para el spammer.
- Igualmente, los costes de enviar un spam son muy bajos, pero no lo suficiente
para que el spam sea rentable para cualquier tasa de respuesta o para cualquier
negociación de comisión para el spammer175.
Por ello, el spam no es rentable para cualesquier negocio o condiciones.
El primer paso que debe llevar a cabo el spammer para realizar su actividad y
que da origen a ella, es la obtención de direcciones de correo electrónico de forma
masiva. En el apartado 2.2. del bloque II de este trabajo (“Medios y formatos usados por
la publicidad en Internet”), se analizaron diversas técnicas a las que acudía el marketing
para obtener datos estadísticos de los internautas. Mediante algunas de las técnicas que
172
“Técnicos y gobiernos sacan la artillería pesada contra el "spam"”, Molist, M. ((c) 2003),
www.aui.es.; “Spam king lives large off others'e-mail troubles” (22 de noviembre de 2002), Wendland,
M., http://www.freep.com/money/tech/mwend22_20021122.htm.; “For Bulk E-Mailer, Pestering
Millions Offers Path to Profit”, Mangalindan, M. (The Wall Street Journal, 13 de noviembre de 2002);
www.alanluber.com.; “Inside the spammer' s world” (29 de junio de 2001), Livingston, B.,
http://news.com.com; “For Bulk E-Mailer, Pestering Millions Offers Path to Profit” (13 de noviembre de
2002), Mangalindan, M. del Wall Street Journal, http://www.alanluber.com.
173
“Técnicos y gobiernos sacan la artillería pesada contra el "spam"”, Molist, M. ((c) 2003),
www.aui.es.
174
Véase el artículo “For Bulk E-Mailer, Pestering Millions Offers Path to Profit” (13 de
noviembre de 2002), Mangalindan, M. del Wall Street Journal, http://www.alanluber.com.
175
Véase el artículo “For Bulk E-Mailer, Pestering Millions Offers Path to Profit”.
176
Según Sanz de las Heras, “Evaluación de Alternativas para Reducir el Spam” (mayo 2000),
www.rediris.com.
177
Estas técnicas que obtienen entre otros datos de los internautas su dirección de correo, han
sido analizadas en este trabajo en el apartado 2.3 y 3.3. del bloque II (“La obtención de datos estadísticos
en Internet con fines de marketing”, y “Obtención de datos ilícitos con fines de marketing”,
respectivamente).
178
Esta modalidad de recopilación de direcciones de correo electrónico con fines de spam fue
analizada en el punto 3.1.3.1, “El uso de códigos maliciosos”, en el bloque II de este trabajo.
ya está suscrito al mismo. Otra opción es que el spammer consiga las direcciones de
los miembros del grupo a través de software rastreador.
Esta práctica hace que las listas de distribución, grupos de noticias y foros sean
menos útiles para los usuarios, a los que abruman con un aluvión de anuncios y
mensajes irrelevantes.
• Mediante la utilización de hoaxes. Este método toma especial relevancia por ser
los usuarios con su desconocimiento los que facilitan al spammer su dirección.
Consideramos el tema de especial interés, por lo que dedicamos el siguiente
apartado a su explicación.
Las direcciones de correo electrónico que se obtienen mediante los diversos
métodos que hemos expuesto, se almacenan y clasifican en bases de datos selectivas con
el fin de venderlas o de usarlas posteriormente para realizar spam. Conviene destacar
que cualquier método de obtención de direcciones de correo sin el consentimiento
expreso del usuario es ilegal, ya que la dirección de correo electrónico está considerada
en la mayoría de los supuestos como un dato personal por la LOPD179, con los efectos
que ello conlleva en España. Entre otras cosas, prohíbe la compra-venta de direcciones
de correo a no ser que se tenga el consentimiento expreso del usuario.
Por ello, el único método legal en España es la elaboración de listas opt-in. Sin
embargo en los formularios dedicados al efecto, en muchas ocasiones aparece una
casilla que dice “No deseo recibir ofertas”, que el usuario debería marcar para “en
teoría”, no dar el consentimiento para recibir comunicaciones comerciales que no sean
la que está solicitando. Pero a menudo, el responsable de la gestión de la lista, vende
todas las direcciones recogidas, las de los que dieron su consentimiento y las que no.
Evidentemente la mayor parte de las listas opt-in son legales pero hay mucho engaño e
incumplimiento de lo que se asegura en las advertencias de privacidad, además de ser
difícil de demostrar cuando existe un incumplimiento.
En contraposición, la legislación de otros países no protege los datos personales
de esta manera. En Estados Unidos, por ejemplo, es prácticamente inexistente180. De ahí
que los spammers tengan casi vía libre en este sentido.
179
Consultar el apartado 3.1.2.2. del bloque II de este trabajo, “Regulación en España. La
LOPD”.
180
Para más información al efecto, consultar el apartado 3.1.2. del bloque II, “Legislación en
torno a la protección de datos en Internet”, y también el apartado 3.3.2. del este bloque, “Situación en
Estados Unidos”.
181
“Why Am I Getting All This Spam? Unsolicited Commercial E-mail Research”, realizado por
Center for Democracy & Technology de la UE, en marzo de 2003. El estudio ha sido obtenido de
www.cdt.org/speech/spam/030319spamreport.shtml. Los motivos del informe fueron intentar dar
respuesta a la pregunta de cómo los spammers consiguen las direcciones de correo electrónico. El modo
de realización del estudio fue exponer en sitios web públicos y listas de noticias más de 250 direcciones
creadas al efecto, durante 6 meses. Se recibieron sobre 10.000 mensajes, de los cuales 8.842 fueron
spam.
182
Estudio realizado por la Comisión Federal del Comericio de Estados Unidos (FTC), cuyas
principales conclusiones han sido tomadas del artículo “Email Address Harvesting: How Spammers Reap
What You Sow” (www.ftc.gov). Este estudio se llevó a cabo para descubrir cuáles son los lugares de los
que recogen más direcciones en Estados Unidos. Para ello se colocaron 250 nuevas direcciones de correo
electrónico en 175 diversas localizaciones de Internet, incluyendo entre ellas páginas web, grupos de
noticias y foros, chats, mensajería instantánea, y los directorios para páginas web on line, nombres de
dominio registrados en las bases de datos whois, servicios de búsqueda de empleo on line, y servicios de
búsqueda de pareja on line. Después del transcurso de las seis semanas que duró el estudio, las cuentas
recibieron 3.349 e-mails spam.
183
Para más información acerca de formas para ocultar la dirección de correo electrónico,
consultar el apartado 3.2.1., “Consejos a los usuarios. Pautas para prevenir y minimizar la cantidad de
spam recibido.”
Los hoaxes son mensajes de correo electrónico engañosos, que son distribuidos
en cadena por los propios usuarios. Son mensajes no solicitados que por lo general no
tienen carácter comercial, pero que llenan el buzón incomodando. En inglés se
denominan también junk mail, o garbage mail.
Los hoaxes se caracterizan por ser enviados desde direcciones no anónimas, por
personas que siguen una determinada cadena. Algunos tienen textos alarmantes sobre
catástrofes, virus informáticos, noticias que hacen mención a la pérdida del trabajo o
incluso a la muerte, que dicen que pueden suceder si no se reenvía el mensaje a todos
los contactos de la libreta de direcciones. También hay hoaxes que tientan con la
posibilidad de hacerte millonario con sólo reenviar el mensaje, o que apelan a la
sensibilidad invocando supuestos niños enfermos. Se basan pues, en el temor o
superstición de la gente con el único fin de engañar e intentar recopilar direcciones de
correo electrónico para realizar spam.
184
La denominación de hoax al mensaje no solicitado de naturaleza no comercial que circula en
cadena, ha sido tomada del sitio web www.rompecadenas.com, dedicado a su estudio, y que ha sido
adoptado también por la Asociación de Usuarios de Internet.
185
Según la información obtenida en www.rompecadenas.com.ar. Además, en esta página se
pueden encontrar los textos de más de 80 hoaxes, y más detalles de este tipo de práctica.
Se podría pensar que las consecuencias del envío de unos cuantos mensajes
falsos o mensajes broma son mínimas, o que no pueden llegar a ser dañinos. Pero los
hoaxes pueden ser peligrosos por varias razones que comentamos a continuación.
En primer lugar alimentan las bases de datos de los spammers, llenan de
publicidad y correo electrónico no deseado los buzones de los usuarios, congestionan
los servidores, y hacen perder tiempo y dinero al receptor. También hacen ocasionan
falta de credibilidad a cadenas creadas por gente que realmente lo necesita.
Por otra parte, determinados hoaxes pueden perjudicar a los usuarios de otras
maneras. Por ejemplo, los titulados Sulfnbk o Jdbgmgr, eran falsas alertas que hicieron
que muchísima gente borrara archivos fundamentales en el funcionamiento de Windows
creyendo que se trataba de virus.
Muchos hoaxes funcionan en base al miedo que generan y también pueden
provocarnos pánico, terror, asco, etc. Sin ir más lejos, la cantidad de hoaxes creados en
relación a los atentados en Estados Unidos, generó miedo adicional en mucha gente.
Por otro lado, son especialmente dañinos los mensajes que involucran a personas
o empresas reales, ya que es muy fácil utilizar este medio para difamar o calumniar. En
efecto, las cadenas de e-mails están siendo utilizadas como forma de difamar y ensuciar
a competidores o simplemente a alguien a quien se le tiene manía. Un ejemplo de esto
es el hoax que vinculaba al grupo musical “La oreja de Van Gogh” con la banda
terrorista ETA.
Finalmente, un fenómeno que está apareciendo con mucha frecuencia, es que se
toma algún hoax existente y se le insertan todos los datos de alguna persona real
(nombre, cargo, lugar de trabajo, teléfono, mail), generalmente profesionales, para darle
mayor seriedad al mensaje. No hace falta decir las molestias que esta situación puede
causarle a esta persona que aparece avalando supuestamente determinada información
(cientos de e-mails, llamadas telefónicas, denuncias, etc.). Esta maniobra es una de las
más bajas que puedan realizarse: utilizar el nombre de una persona inocente y ajena para
difamar a otra. Una vez más, la gente sin escrúpulos se vale de los sentimientos de las
personas para hacer daño y recolectar direcciones de e-mail.
Por tanto los hoaxes provocan mucho perjuicio, tanto económico como en
términos de daños a los internautas. Por un lado recolectan las direcciones de mail,
vulnerando la privacidad los usuarios, y por otro, violan la privacidad y el nombre de
quienes son víctimas de estas maniobras.
186
Si recordamos los abusos del correo electrónico que explicábamos en el apartado 1.2.,
(difusión de contenido inadecuado, difusión a través de canales no autorizados, difusión masiva no
autorizada, comunicaciones comerciales no solicitadas y ataques con objeto de imposibilitar o dificultar el
servicio), observamos que el los hoaxes no están contemplados como abusos del correo electrónico.
Los elementos que forman la cadena de distribución del spam son, según Grey,
M. C.187, los siguientes:
• Proveedores del software necesario, es decir, gente que se dedica a crear software
que hace extremadamente fácil efectuar envíos masivos y buscar direcciones de
correo electrónico válidas, asociando combinaciones de letras a nombres de
dominio, efectuando potentes búsquedas selectivas en Internet, etc, tal y como
comentamos en el apartado anterior.
• Cosechadores de direcciones. Se trata de la gente que se dedica a usar el software
antes descrito para buscar direcciones de correo electrónico válidas, con las cuales
se confeccionan bases de datos.
• Spammers. Se trata de las personas que realmente se dedican a enviar los mensajes
de forma masiva, utilizando el software apropiado y las bases de datos con las
direcciones de destino.
• Compañías clientes, es decir, empresas que deciden que las promociones de sus
productos y servicios deben llegar a cualquiera, en cualquier lugar, a costa de lo que
sea. Por ello deciden hacerlo a través de este método, contratando los servicios de
los spammers, o realizando el spam ellas mismas.
• Compañías, organizaciones y gobiernos en lucha contra el spam, se encuentran
en el lado opuesto, intentando y contribuyendo a romper esta cadena.
Todos estos componentes representan una cadena extendida, si bien por la
sencillez que implica, en muchas ocasiones todos o varios eslabones son la misma
persona o entidad. Dicho lo anterior, podemos analizar cuáles son los principales
elementos necesarios para la distribución de spam:
• El software necesario, que consistiría en buscadores configurados específicamente
para encontrar direcciones en Internet, por una parte. Por otra, un programa sencillo
que reproduzca un diálogo SMTP, colocando los campos de remite y destino que
convengan y falsificando algunas de las cabeceras de tránsito de los mensajes188.
Para realizar envíos masivos de spam basta con conocer el protocolo SMTP
(Simple Mail Transfer Protocol, descrito en el RFC2822), que regula todas las
transacciones de correo electrónico de Internet.
• Una base de datos con direcciones de correo a las que distribuirá el mensaje de
spam, que se puede comprar o confeccionar.
• Una máquina (estafeta) con la que establecer el diálogo SMTP. En este caso puede
ser una máquina local con un paquete de servidor de correo electrónico, o una
máquina remota mal configurada a la que se accede por el puerto 25 (SMTP), de
forma que permita el encaminamiento de los mensajes que provengan de cualquier
dirección IP. En otras ocasiones los spammers utilizan métodos de hacking para
convertir cualquier servidor en un open relay.
187
Grey, M. C., directora de investigación de Gartner Research. Sus declaraciones han sido
obtenidas a través del artículo “The Great Spam Supply Chain” (15 de marzo de 2003),
www.cio.com/archive/031503/tl_email.html.
188
Consultar el apartado 2.4., “Análisis de las cabeceras de los mensajes”, en el que se analizan
cómo y por qué los spammers a menudo falsifican las cabeceras de sus mensajes.
El protocolo SMTP se creó en 1981 de forma insegura para ser usado por
científicos, sin pensar en ningún uso comercial. La explosión de Internet en 1994 a nivel
social y comercial hizo que se descubrieran los agujeros de SMTP para ser utilizado
como el mejor y más barato mecanismo para distribuir y hacer llegar directamente a
miles de buzones cualquier tipo de información comercial. Estos agujeros de seguridad
de SMTP a menudo pueden solucionarse configurando adecuadamente los servidores de
correo electrónico. Sin embargo, hoy en día estos problemas de configuración no están
erradicados en el 100% de las máquinas de Internet, por lo que los spammers pueden
utilizar servidores ajenos para realizar sus envíos masivos. Estos problemas y sus
implicaciones se han tratado en el siguiente epígrafe.
189
Consultar el apartado 3.2.3., “Consejos a los PSI y los administradores de servidores de
correo electrónico”, en el que se abordan consejos a los proveedores de servicio en Internet y a los
administradores de servidores de correo electrónico para configurar correctamente los servidores de
correo electrónico y así evitar que los spammers puedan usar de forma indebida sus recursos.
spammers encubrir sus identidades, porque parece que el spam viene realmente de
ellas.
- Si los servidores de una organización en concreto son usados de este modo, el
tráfico podría colapsar el sistema. La red de la organización podría verse inundada
por los mensajes spam que intenta enviar, por quejas de las personas que los reciben,
y con el spam devuelto de las direcciones que se incluyeron en el envío, pero no
existían. La reparación de esta sobrecarga, podría ser costosa y repercutir en una
gran cantidad de tiempo fuera de servicio. Pero aún más costosa podría ser la
pérdida potencial de confianza de los que piensen que es dicha organización la que
ha enviado el spam.
- El proveedor de servicios de Internet puede cortarle el servicio al detectar esta
práctica.
- Un mayor tráfico, puede provocar que los costes administrativos se incrementen.
Pero esto no es todo, los spammers también pueden usar servidores proxy
abiertos (mal configurados) de la organización. Ello puede permitir situaciones tales
como que terceras personas se introduzcan en el sitio web de la organización, y se
conecten a otras máquinas de Internet desde el interior. Por ejemplo, un spammer puede
usar un proxy abierto para conectarse al servidor de correo electrónico de la
organización, cargar el envío masivo de spam, y luego desconectarse, todo ello de forma
anónima y sin posibilidad de rastreo.
La Comisión Federal del Comercio de Estados Unidos (FTC) asegura que ha
detectado al menos 1.000 estafetas que podrían estar potencialmente abiertas, de las
cuales el 90 por ciento se encuentran en 16 países: Estados Unidos, China, Corea,
Japón, Italia, Polonia, Brasil, Alemania, Taiwán, México, Gran Bretaña, Chile, Francia,
Argentina, India, España, y Canadá. Estos países se reflejan en el siguiente mapa.
Ilustración 43. Localización de las entidades que reciben avisos por tener los servidores mal
configurados (open relays). Fuente: FTC (Federal Trade Commission).
2.4.1. Qué son y para qué sirven las cabeceras de los mensajes de
correo electrónico.
190
Información obtenida del artículo “Dos tercios del '
spam'que recibimos son fraudulentos”,
www.iblnews.com, y del propio estudio: “False Claims in Spam, a report by the FTC’s Division of
Marketing Practices”, abril de 2003. Federal Trade Commission.
Return-Path: <martammr@mixmail.com>
Received: from tsmtp3.ldap.isp ([10.20.4.23]) by mb30.terra.es
(terra.es) with ESMTP id HPHCHU00.JC5 for <jmmpos@terra.es>;
Sat, 6 Dec 2003 16:32:18 +0100
Received: from relay.mixmail.com ([62.151.8.30]) by
tsmtp3.ldap.isp (terra.es) with ESMTP id HPHCHS00.RVX for
<jmmpos@terra.es>; Sat, 6 Dec 2003 16:32:16 +0100
Received: from [172.30.8.15] (helo=web01)
by relay.mixmail.com with smtp id 1ASePn-0007dj-00
for jmmpos@terra.es; Sat, 06 Dec 2003 16:32:15 +0100
Date: Sat, 06 Dec 2003 16:32:15 +0100
From: "Marta Martin-Moreno Redondo" <martammr@mixmail.com>
Reply-To: martammr@mixmail.com
To: "jmmpos@terra.es" <jmmpos@terra.es>
Subject: de mixmail
Xmailer: Mixmail Server 3.0
X-Priority: 3
MIME-Version: 1.0
Content-type: text/plain
Content-Transfer-Encoding: quoted-printable
Message-Id: <E1ASePn-0007dj-00@relay.mixmail.com>
información en la parte de arriba de este campo, de tal manera que el primer campo
“Received:” ha sido añadido por la última estafeta por donde pasó el mensaje, y el
último, debería indicar la primera estafeta que recibió el mensaje, suponiendo que no se
han usado técnicas de enmascaramiento, es decir, que no se ha falsificado parte de la
cabecera o que el servidor de origen incluye información en este campo191. Según el
mensaje va pasando por diversas estafetas hasta llegar al destinatario, se añaden campos
“Received”. Así, el esquema del campo “Received:” para una secuencia de estafetas A-
>B->C->D es:
Received: from <estafeta_que_manda(C)> by
<estafeta_que_recibe(D)><datos>.
Received: from <estafeta_que_manda(B)> by
<estafeta_que_recibe(C)><datos>.
Received: from <estafeta_que_manda(A)> by
<estafeta_que_recibe(B)><datos>.
Es decir, se lee de abajo a arriba y de izquierda a derecha para recomponer la
secuencia. Los servidores B y C son estafetas intermedias entre las de origen y destino
(A y D respectivamente).
Reproducimos a continuación el campo “Received:” del ejemplo anterior para
clarificar que significa cada componente:
191
Existen todavía servidores de una versión antigua de SendMail, que no registran esta
información, por lo que si el spammer usa este tipo de servidor, no podremos rastrear su mensaje. Sin
embargo, afortunadamente no es el caso más habitual.
X-Message-Info: ASZdpiY8olkOLMeOyu9AxQlar2pq6Aw6/Muu/W3TUsQ=
Received: from mc7-f26.hotmail.com ([65.54.253.33])
by mc7-s11.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713);
Fri, 5 Dec 2003 12:25:50 -0800
Received: from ôÉàæÄãÄÜ×öЩʲô£ ([80.139.98.148])
by mc7-f26.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713);
Fri, 5 Dec 2003 12:25:49 -0800
To: <Oraqgcvpobr6Wt2LH791@yahoo.com>
From: "Liz" <tomblikecontributoryboatyard@tombstonecontrite.net>
Subject: -=SIZE=- it D0es matter
Date: Fri, 05 Dec 2003 15:26:05 -0500
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Return-Path: tomblikecontributoryboatyard@tombstonecontrite.net
Message-ID: <MC7-F26rx5zAa6l3zZx0000835b@mc7-f26.hotmail.com>
X-OriginalArrivalTime: 05 Dec 2003 20:25:50.0320 (UTC)
FILETIME=[F932EF00:01C3BB6D]
Ilustración 45. Primer ejemplo de cabecera falsificada que pertenece a un mensaje spam.
X-Message-Info: 8Q6ATcAEb5e7zPw0COqY18Hn5ysiSxR1Ta5EkS16Z2g=
Received: from mc8-f8.hotmail.com ([65.54.253.144])
by mc8-s13.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713);
Wed, 3 Dec 2003 15:24:55 -0800
Received: from Zcotierwymtn3F ([80.139.48.158])
by mc8-f8.hotmail.com with Microsoft SMTPSVC(5.0.2195.6713);
Wed, 3 Dec 2003 15:24:36 -0800
To: <faarabnqh6LR3Dr575@hotmail.com>
From: "Tammy Wolf" <nowherescrimmage.org>
Subject: View it before its gone
Date: Wed, 03 Dec 2003 18:24:48 -0500
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Return-Path: nowherescrimmage.org@mail.hotmail.com
Message-ID: <MC8-F89wmfKGezPLC6M0001d6b2@mc8-f8.hotmail.com>
X-OriginalArrivalTime: 03 Dec 2003 23:24:37.0334 (UTC)
FILETIME=[9E2BDF60:01C3B9F4]
Ilustración 46. Segundo ejemplo de cabecera falsificada que pertenece a un mensaje spam.
En este segundo mensaje tampoco coincide el contenido del campo “To:” con la
dirección de destino. Sin embargo observamos que el nombre de la máquina origen en
el campo “Received:” (Zcotierwymtn3F), sí podría corresponderse con una máquina
real.
En ambos mensajes, a pesar de la falsificación de la cabecera, vemos que ésta
nos da información de los servidores por donde ha transitado el mensaje antes de llegar
al buzón de destino y la verdadera dirección IP del servidor de origen, que sirve para
localizar el sitio desde el que el spammer está haciendo sus envíos masivos. Esta
dirección IP se encuentra al principio del último campo “Received:”, la cual en el
primer mensaje es [80.139.98.148], y en el segundo, [80.139.48.158].
hacer una consulta a un servidor DNS. Ésta se puede efectuar mediante herramientas al
efecto, dependiendo del sistema operativo que se use, o si no se dispone de ninguna, se
puede acudir a páginas que facilitan estos accesos, como www.dnsstuff.com.
Para obtener datos de un dominio o de una dirección IP, como la dirección de
correo electrónico de su responsable, se pueden utilizar las bases de datos whois de
dominios de Internet: base de datos InterNIC (www.internic.net/cgi-bin/whois), para
dominios .edu, .com, .org, y .net; RIPE NCC (www.ripe.net/db/whois.html), para
dominios europeos, o la base de datos del ES-NIC
(https://www.nic.es/esnic/servlet/WhoisControllerHTML), sólo para dominios .es.
En la página web antes mencionada, www.dnsstuff.com, se nos ofrecen
herramientas para poder consultar todas las bases de datos necesarias de forma
transparente, así como otras herramientas útiles para rastrear una dirección IP o un
nombre de dominio, o saber si está incluida en una de las 300 listas negras de spammers
a las que puede acceder la página en cuestión.
Una dirección IP, como hemos dicho, caracteriza unívocamente una máquina en
Internet, pero ésta puede ser estática, como en el caso de servidores o de conexiones
mediante ADSL, o dinámicas dentro de un rango asignado por un servidor. En el caso
de que la dirección sea dinámica, también nos hará falta saber la fecha y hora en que se
envió dicho mensaje, que viene reflejada en el campo “Date:”.
Para los mensajes spam analizados anteriormente, cuyas direcciones origen
hemos descubierto que eran [80.139.98.148] y [80.139.48.158], tras realizar una
consulta a las bases de datos whois, obtenemos que ambas pertenecen a la misma
organización cuyos datos son los siguientes192:
192
(C) Copyright 2000-2003 Computerized Horizons, obtenido de www.dnsstuff.com.
remarks:
****************************************************
remarks: *ABUSE CONTACT: abuse@t-ipnet.de
remarks:* IN CASE OF HACK ATTACKS, ILLEGAL ACTIVITY,
* VIOLATION, SCANS, PROBES, SPAM, ETC.
****************************************************
mnt-by: DTAG-NIC
changed: ripe.dtip@telekom.de 20010807
changed: ripe.dtip@telekom.de 20030211
source: RIPE
route: 80.128.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: bp@nic.dtag.de 20010807
source: RIPE
Ilustración 47. Resultado de la consulta de la dirección [80.139.98.148] a la base de datos whois. (C)
Copyright 2000-2003 Computerized Horizons, obtenido de www.dnsstuff.com.
De todos estos datos, nos interesa conocer la base de datos que contenía esta
dirección, que era RIPE; la dirección de correo electrónico a quien podemos enviar
nuestra queja, que es abuse@t-ipnet.de; y los datos de la organización: una descripción
de su nombre y actividad (“Deutsche Telekom AG, Internet service provider”), el país
de origen (Germany) y un número de teléfono y fax de contacto.
3.1. Introducción.
En esta sección vamos a aportar una serie de consejos para prevenir y ayudar a
combatir el spam. Los hemos dividido en consejos a los usuarios, consejos a los
creadores de contenidos, foros, listas y páginas web, y consejos a los proveedores de
servicio y los administradores de servidores de correo electrónico.
Desde cada una de estas tres perspectivas, intentaremos aportar cuáles son las
consideraciones básicas que deben tenerse en cuenta, sin pretender entrar en demasiado
nivel de detalle. Veámoslos pues, comenzando por los consejos a los usuarios.
3. Usar más de una dirección de correo electrónico dependiendo del uso que
se vaya ha hacer de ella. Esto ya lo apuntábamos en la primera pauta, y con ello
queremos recalcar que es ventajoso disponer varias direcciones de correo según sea el
uso que vayamos a darle: una para los mensajes personales, otra para asuntos
profesionales, otra para proporcionarla en chats u otros sitios web con fines de ocio, por
ejemplo.
4. Elección de la dirección de correo electrónico. La dirección
marta@dominio.com, por ejemplo, es posible que reciba más cantidad de spam que otra
como m_x5_r1@dominio.com. En efecto, si se usa un nombre poco común como
dirección de e-mail, es más difícil que le llegue spam con direcciones de destino
aleatorias, que suele ser uno de los métodos utilizados por los spammers. Así, éstos
utilizan combinadores que seleccionan nombres posibles y palabras de diccionario, para
un determinado proveedor de correo, esperando encontrar direcciones válidas196.
5. Usar al menos las opciones de filtrado del gestor de correo. Todos los
gestores de correo actuales incluyen algún tipo de herramientas para filtrar mensajes y
bloquear direcciones concretas, de tal forma que no se reciban mensajes de ellas.
La mayoría de proveedores que ofrecen cuentas de correo electrónico web
gratuitas, poseen herramientas específicas contra el spam. Por ejemplo, Ya.com
(Mixmail) ofrece la posibilidad de configurar filtros de correo no deseado dependiendo
del grado de seguridad que se requiera para la cuenta (alta, media y baja), y envía los
mensajes calificados como spam a una carpeta específica. Hotmail y Yahoo! también
poseen herramientas parecidas para combatir el spam.
En el caso de uso de gestores de correo como Outlook, Eudora, etc, que todavía
no incluyen herramientas específicas, siempre podemos instalar alguna. En el apartado
4.5.1.1. (“Desde el punto de vista del usuario”), analizaremos qué herramientas existen
y cuáles son adecuadas en cada caso.
La mayor parte de los sitios web en Internet combaten el spam adoptando sus
propias medidas de protección y vigilancia. No obstante, independientemente de la
actividad que se lleve a cabo, es conveniente seguir unos consejos básicos para prevenir
y combatir el spam tanto para las direcciones propias del responsable de la página web,
de los internautas que la visiten, así como de sus clientes.
En general, no se deben publicar direcciones de correo en las páginas, a no ser
que sea estrictamente necesario. Si se publican direcciones, se deben tomar algunas
medidas de precaución para que éstas no sean rastreadas por los spammers. Para
dificultar que una dirección sea tomada, se puede recurrir a sencillas técnicas que las
hacen invisibles a los programas de rastreo. Estas técnicas están basadas en que estos
programas funcionan haciendo búsquedas selectivas de las “arrobas” o el “mailto” que
aparecen en las direcciones. Una manera puede ser publicar las direcciones en formato
de gráfico, sin el enlace al e-mail. También se puede implementar una función en
Javascript, tal que dado únicamente el nombre del buzón, le añada la arroba y el
nombre de dominio para completar la dirección de correo. De esta forma en la página
sólo aparece el nombre del buzón, por lo que no puede ser tomada automáticamente.
196
Consultar el apartado 2.2., “Origen de las direcciones víctimas de spam”, donde se explica y
se ilustra con un ejemplo este método obtención de direcciones de los spammers.
Otra forma podría ser incluir la dirección ASCII codificada en decimal, o sustituir la
arroba por otro texto, como hemos comentado en el apartado anterior de consejos a los
usuarios.
En el caso de gestión de listas de distribución, se debe disponer de las medidas
mínimas para proteger el servicio:
- No se deben permitir altas sin que se validen a través de la dirección de correo
electrónico suscrito, para evitar altas no deseadas a terceros. Es una buena práctica,
incluir en los mensajes siempre un enlace que permita darse de baja de ella de forma
sencilla, con el fin de controlar la disponibilidad de la relación de los suscriptores.
- Si la lista posee contenidos accesibles, es conveniente no publicar los e-mails de los
participantes en los mensajes que se publican, o advertir de los riesgos que conlleva
la participación.
- Es muy positivo que antes de publicar los mensajes, éstos pasen por algún sistema
de moderación o validación, para evitar mensajes comerciales o mensajes off-topic.
- No permitir listas públicas de envío.
- Controlar y limitar el número máximo de copias o envíos simultáneos que pueden
realizar los que utilizan los servicios, con el fin de evitar envíos masivos desde la
lista.
A continuación incluimos una serie de consejos que se han de tener en cuenta si
el sitio web que se gestiona obtiene la dirección de correo de sus usuarios, con el fin de
enviarles información promocional sobre dicho sitio web. Se ha de ser muy cuidadoso
para que el sitio web goce de confianza y no sea calificado como spammer, con las
consecuencias que ello traería al respecto.
Una práctica que también reporta beneficios a ambas partes es comprobar los
datos de los usuarios tan a fondo como sea posible, con el fin de no utilizar datos
incorrectos de algún usuario, y con ello mejorar la calidad de los boletines enviados y
3.2.3.1. Recomendaciones.
ambas partes, usuarios y compañía. Para ello la entidad debe tener en cuenta una serie
de recomendaciones que se detallan a continuación197.
1. Se debe disponer de una política institucional para el uso correcto de los recursos de
la red (dominio y rango de direcciones IP asignadas) que delimite sus
responsabilidades. En ella se ha de tener en cuenta que la institución debe
responsabilizarse del servicio de correo electrónico que se ofrezca a instituciones
autorizadas (dominios residentes, fundaciones, organismos independientes, etc.), a
las que se deberá explicar y deberán aceptar las condiciones de uso. En el apartado
siguiente, abordaremos unas pautas sobre cómo debe efectuarse su definición
(consultar el epígrafe “Correcta definición de una política institucional para el uso
del servicio de correo electrónico”).
2. Se deben tomar las medidas mínimas de seguridad para evitar abusos de los recursos
de la compañía. Por ello, la institución tiene que garantizar que todos los servidores
de correo electrónico de su red están adecuadamente configurados y cumplen con
unas determinadas pautas que garantizan la seguridad. En el apartado siguiente
(epígrafe “Configuración adecuada de los servidores de correo”) se detallan algunas
de las más importantes.
3. En caso de que la institución disponga de foros o listas de distribución, debe
disponer de unas medidas mínimas para proteger el servicio, que han sido
comentadas en el apartado anterior, con los consejos a los creadores de páginas web,
foros, y listas de distribución.
4. En el caso de recabar datos de carácter personal o direcciones de correo electrónico,
se debe proporcionar mecanismos para que el usuario pueda ejercer sus derechos de
rectificación y cancelación de los mismos (según lo especificado en la LOPD), así
como de informar de la forma de llevarlo a cabo. Hay que tener en cuenta que la
institución es responsable de las consecuencias que impliquen el almacenamiento y
manipulación automática de datos de direcciones de correo electrónico por parte de
los usuarios de su red. Al igual que en la recomendación número 3, los consejos
sobre este tema han sido abordados en la sección anterior.
5. Se deben atender las quejas y comunicaciones de los usuarios, y se debe garantizar
que se gestionan los incidentes que llegan al buzón
<abuse@dominiodelaempresa.es> a los buzones o formularios que la empresa
disponga para este fin, actuando de la manera que corresponda según el caso.
La institución debe dar a conocer la existencia de dichas direcciones, e indicar el
tipo de información que es necesario enviar para poder tomar acciones, y
documentándola en su caso. Además, debe por lo menos considerar, y contestar a las
quejas y denuncias que lleguen a dicho buzón, sean locales o externas. Así, cuando
se ha demostrado un incidente de abuso interno, la institución se debe comprometer
a tomar las medidas oportunas contra el involucrado de acuerdo con la política de
uso correcto de la red de dicha institución y la legislación vigente.
6. La institución debe garantizar que los actuales y futuros usuarios con dirección de
correo electrónico del dominio interno, son informados de manera clara,
comprensible, y de fácil localización sobre los siguientes aspectos:
- Identificación de la empresa o proveedor. Según lo dispuesto en la LSSI sobre
los prestadores de servicios de la sociedad de la información, se deben incluir
todos los datos de la compañía198.
197
Muchas de estas prácticas son las recomendadas por Sanz de las Heras, J., responsable del
servicio de correo electrónico del organismo RedIris (www.rediris.com).
198
Consultar el apartado 3.1. del bloque II de este trabajo, en el que se especifican las
obligaciones que tienen los prestadores de servicios de la sociedad de la información.
- Dirección de correo electrónico o postal donde los usuarios puedan hacer saber
al administrador o responsable incidentes o quejas. También los datos que se
deben adjuntar para que puedan ser debidamente atendidos.
- Implicaciones del uso del correo electrónico con direcciones del dominio de la
institución.
- La política de uso correcto de los recursos y los servicios de la empresa, que ésta
adquiere con los usuarios y que desea hacer pública, así como las acciones que
se llevarán a cabo en caso de incumplimiento.
- La política de seguridad y privacidad, en la que la compañía deberá explicar el
tratamiento y uso que hace de los datos que obtiene (direcciones IP, cookies,
direcciones de correo y otros datos).
- Los conceptos básicos y efectos de los abusos del correo electrónico, así como
enlaces a las instituciones que la compañía crea oportuno para generar confianza
en los usuarios, como por ejemplo, a la agencia de protección de datos, cuerpos
de seguridad u organizaciones de consumidores.
3.2.3.2. Medidas.
199
El estudio realizado por la compañía Sybari a más de un centenar de compañías de dieciséis
países, entre los que figura España, y cuyas conclusiones han sido obtenidas del artículo “Las empresas
creen que las leyes contra el spam son insuficientes” (12 de noviembre de 2003), www.vunet.com.
Política institucional acerca del problema del ACE (Abusos del Correo Electrónico).
Disposiciones generales.
1. Nuestra institución es responsable de cualquier nombre de dominio, DNS de
tercer nivel, bajo el dominio "org.es".
2. Dentro de los servicios de comunicaciones que nuestra institución provee, se
ofrece un buzón de correo electrónico y una o varias máquinas para el
encaminamiento y recogida de correo a/desde Internet a todo nuestro personal
que lo requiera. Teniendo registro de las personas que los están utilizando bajo
las direcciones electrónicas de las que somos responsables.
3. Como gestores del servicio de correo electrónico dentro de nuestra institución,
nos reservamos el derecho de tomar las medidas sancionadoras oportunas
contra los usuarios internos y externos que realicen cualquiera de los abusos
incluidos en el Anexo 1.
4. Disponemos de suficiente información acerca de:
• Las diversas actividades que trascienden los objetivos habituales del uso del
servicio de correo electrónico que presta nuestra Institución (Anexo 1).
• Los perjuicios directos o indirectos que este problema ocasiona a nuestros
propios usuarios, rendimientos de máquinas, líneas de comunicaciones, etc,
reflejados en el Anexo 2.
200
Fuente: www.rediris.es/mail/abuso.
Objetivos.
Este documento ha sido escrito con los siguientes objetivos en mente:
1. Proteger la reputación y buen nombre de nuestra institución en la Red
(Internet).
2. Garantizar la seguridad, rendimientos y privacidad de los sistemas de nuestra
organización y de los demás.
3. Evitar situaciones que puedan causar a nuestra organización algún tipo de
responsabilidad civil o penal.
4. Preservar la privacidad y seguridad de nuestros usuarios.
5. Proteger la labor realizada por las personas que trabajan en nuestros servicios
de comunicaciones frente a ciertos actos indeseables.
Ámbito de aplicación.
1. Todas las máquinas de nuestra institución capaces de encaminar correo
electrónico (estafetas).
2. Todas las piezas de mensajes (texto, cabeceras y trazas) residentes en
ordenadores propiedad de nuestra institución.
3. Todos los usuarios responsables de buzones asignados por los responsables de
nuestra organización.
4. Todos los servicios internos que utilizan el correo electrónico, como por
ejemplo los servidores de listas de distribución y respondedores automáticos.
Esta política sólo se aplica al correo electrónico en formato electrónico y no es
aplicable a correo electrónico en formato papel.
Compromisos
1. Emplear los recursos técnicos y humanos a nuestro alcance para intentar evitar
cualquiera de los tipos de abusos reflejados en el Anexo 2.
2. Poner a disposición pública y fácilmente accesible de nuestros usuarios,
propietarios de buzones institucionales, de la siguiente información:
• "Términos y condiciones de uso del servicio de correo electrónico" (se
adjunta a continuación).
• "Abuso del correo electrónico y sus implicaciones".
3. Poner a disposición de los usuarios del servicio de correo electrónico de la
institución los procedimientos adecuados para que puedan actuar contra los
abusos externos del correo que sufrirán en sus propios buzones (correo basura
o spamming).
4. Intentar mantener nuestros servidores de correo institucionales con las últimas
mejoras técnicas (actualizaciones, parches, filtros, etc.) para defenderlos de los
ataques definidos en el Anexo 1.
5. Proteger los datos personales de nuestros usuarios: nombre, apellidos y
dirección de correo electrónico de acuerdo a la legislación española reflejada
en la LORTAD (Ley Orgánica de Tratamiento de Datos - Ley Orgánica 5/1992
del 29 octubre) .
6. Intentar impedir y perseguir a usuarios internos que realicen cualquiera de las
actividades definidas en el Anexo 1.
7. Coordinarnos con el equipo gestor del Programa RedIRIS para colaborar en la
creación de un frente común frente a este tipo de actividades definidas en el
Anexo 1. Esto incluye la colaboración al nivel necesario para la persecución de
estas actividades
Ilustración 48. Ejemplo de documento tipo para la política institucional en relación con el problema
del abuso del correo electrónico de una organización. Fuente: www.rediris.es/mail/abuso.
Ilustración 49. Ejemplo de documento tipo para los términos y condiciones de uso del correo
electrónico de una organización. Fuente: www.rediris.es/mail/abuso.
201
El tema de los servidores abiertos fue tratado en el apartado 2.3.2., donde se puede encontrar
información sobre qué se entiende como servidor abierto, y cuáles son sus implicaciones. En el apartado
3.2.3. (“Consejos a los PSIs y a los administradores de servidores de correo electrónico), se explica
embargo aquí se pretende profundizar en cuáles son las pautas a seguir para solucionar
estos problemas de abusos no autorizados de terceros. Una buena forma de comprobar si
una organización tiene los servidores de correo electrónico mal configurados, puede ser
mediante el sitio web www.mail-abuse.org/tsi, donde se puede encontrar abundante
documentación sobre los pasos a seguir dependiendo del sistema operativo y del
software que se tenga instalado.
El servidor principal de correo electrónico de una organización debe ser el centro
del servicio, desde el cual se coordine la seguridad de todo el servicio en la
organización. Los requisitos recomendables202 a tener en cuenta para configurarlo desde
el punto de vista de la seguridad, se detallan a continuación.
1. Definir el espacio de direcciones de correo lógicas de las que es responsable el
servidor, sin omitir los dominios virtuales.
2. Definir claramente las direcciones IP de las redes a las que se da servicio de correo
electrónico, y que deberán ser las únicas que tengan permiso de utilizar el servidor
principal para encaminar e-mails. A cualquier otra se le debe denegar el servicio de
la transacción SMTP.
3. No aceptar e-mails desde direcciones externas y destinadas a direcciones externas al
dominio de la organización. Este principio junto con el anterior, debe denegar el
encaminamiento de mensajes de correo electrónico desde cualquier dirección IP
exterior, destinada a cualquier dirección IP exterior, independientemente de cual sea
la dirección de origen que aparezca en el campo “mail from:”. De esta forma nos
aseguramos de que los servidores no estén abiertos, es decir, que evitan el
encaminamiento de forma no autorizada a terceros.
4. Comprobar las resoluciones DNS para rechazar conexiones SMTP de servidores que
no dispongan de resolución inversa, y para rechazar mensajes en los que durante la
sesión SMTP aparezca un valor de “mail from:” con un dominio incorrecto.
5. Implementación de listas de acceso de direcciones de dominios, usuarios y/o
direcciones que se les deniega el acceso, por no tener protegido su servidor de
correo, por ser máquinas de proveedores de servicio que dan soporte a spammers, o
por ser máquinas que hacen spam; así como disponer de herramientas para filtrar
estas direcciones.
6. Limitar el número de mensajes que un usuario puede enviar por minuto y comprobar
periódicamente el número total de mensajes que se envían desde cada uno, para
evitar que un spammer se aloje entre nuestros usuarios.
7. Configurar los servidores para que proporcionen códigos de error normalizados y
almacenar la identidad de las máquinas (dirección IP), e información correcta y
suficiente donde se reflejen las trazas de todas las transacciones SMTP, así como la
fecha correcta de los envíos. Se debe conservar durante un tiempo razonable estos
ficheros y revisarlos y actualizados de forma periódica. Con estas medidas se podrán
depurar y mejorar los errores que se presenten, garantizar que los e-mails generados
dentro de la red pueda ser identificado y seguido hasta su origen, así como
identificar prácticas fraudulentas.
De este modo no se debe permitir el encaminamiento desde o a servidores
terceros que no pertenezcan a la organización. Con ello se habrá solucionado este
problema y no se estará siendo cómplice de spammers.
detalladamente cómo configurar adecuadamente los servidores para que éstos no puedan ser usados por
terceros de forma fraudulenta.
202
Según la institución RedIris, www.rediris.es.
3.3. Legislación.
203
La información necesaria para redactar este apartado ha sido obtenida de la página
www.eurocauce.org, portal de lucha legal internacional contra el spam, del portal de la Comisión
Europea, www.europa.eu.int/pol/infso/index_es.htm, y de varios artículos: “La UE anuncia medidas
contra el ' spam' por la desconfianza que causa” (27 de enero de 2004), Europa Press,
www.elmundo.es/navegante; “¿Spam sí o spam no? Legalidad” (26 de agosto de 2003), Hernández, J.,
www.baquia.com; “La Comisión Europea declara la guerra al spam” (23 de enero de 2004),
www.vunet.com; “Bruselas contra el ' spam' ”, Reuters, www.elmundo.es/navegante; “En Gran Bretaña el
envío de SPAM es un delito” (19 de septiembre del 2003), http://www.conocimientosweb.net/dt;
“Legisladores británicos planean extraditar a quienes envíen spam” (30 de octubre del 2003),
www.conocimientosweb.net/dt; “Europa prohibirá el spam a partir de otoño”, Sánchez, Y.,
www.diarioenred.com.
204
Los términos opt-in y opt-out, fueron adecuadamente explicados en el apartado 3.1.2.1. del
bloque II de este trabajo (“Clarificación del significado e implicaciones de los términos opt-in y opt-out”).
Por tanto se remite a él para mayor claridad, o al glosario de términos.
Austria y el Reino Unido, de las cuales Finlandia, Alemania y Bélgica, sin embargo
todavía no han adoptado todas las competencias de la mencionada directiva.
La ley contra el spam del Reino Unido, que entró en vigor el 11 de diciembre de
2003 ha levantado gran controversia, puesto que ha incluido la posibilidad de poder
extraditar a los spammers que envíen mensajes a usuarios del Reino Unido desde otros
países para poder ser juzgados allí. Sin embargo ha sido criticada porque impone una
pena máxima de 5.000 libras esterlinas (9.255 dólares). Los expertos señalan que no es
disuasoria, puesto que algunos de ellos obtienen de 20.000 a 30.000 libras (de 37.020 a
56.030 dólares) por semana por realizar los envíos masivos y en Estados Unidos por
ejemplo, se ha indemnizado a compañías como American Online, con casi siete
millones de dólares por daños en un caso de spam.
La controversia levantada por esta ley en el Reino Unido es tan solo un ejemplo
del debate que está teniendo lugar en todo el mundo alrededor de este tema. Veamos a
continuación cuál es la situación en España.
205
Consultar el apartado 3.1.1. del bloque II, “Legislación en torno a la comunicación o
promoción on line”.
206
Esta información ha sido obtenida de los artículos “La Fecemd advierte sobre la legislación
de e-mails publicitarios” (09-12-2003, www.fecemd.org) y “El spam a los clientes será legal en España”;
www.noticiasdot.com.
Sin embargo, esta nueva situación hace que un tipo de spam sea legal en España,
no conservándose en sentido estricto la opción del usuario de no recibir ningún tipo de
mensaje no solicitado sin consentimiento explícito previo. La opinión de que debe
prohibirse todo tipo de spam, es compartida por usuarios207, asociaciones de empresas
de marketing interactivo, y organismos de lucha contra el spam. Para evaluar
adecuadamente la situación, pensemos en las bases de datos de las que disponen las
grandes empresas con las que cualquier ciudadano se ve obligado a contratar los
suministros básicos: Telefónica, Fecsa-Endesa, Iberdrola, Gas Natural, Bancos y Cajas
de Ahorros, etc. En la actual situación legislativa, dichas empresas lo sucesivo quedan
legitimadas para inundar el buzón de correo electrónico del usuario, ofreciéndole
productos o servicios de su propia empresa que sean similares a los inicialmente
contratados. Y del mismo modo, y en virtud del principio de igualdad, cualquier otra
empresa, sea multinacional o pyme, empezando por aquellas que nos ofrecen acceso a
Internet. Esto derivará en una gran cantidad de mensajes.
Por otro lado, el gran problema que se presenta independientemente de la
situación legislativa española concreta, es que dado el carácter internacional del spam,
la legislación nacional no es muy efectiva para evitar el problema dentro de España. En
efecto, teniendo en cuenta que al conectarse a Internet se rompe toda forma de fronteras,
se pueden delimitar puntos de origen pero no puntos de encuentro o puntos de paso de la
información, es decir, una persona en Hong-Kong usando una cuenta de correo web de
un proveedor de servicios en Argentina, puede enviar un mensaje spam a usuarios en
“n” países (de manera simultanea), entre ellos a uno que tiene su cuenta en un servidor
español. En un caso cómo éste, aunque la víctima del spam sea española, no se puede
acudir a la LSSI, ni a las directivas europeas. Por ello, la legislación nacional es
necesaria, pero no demasiado útil para prevenir o combatir el spam, ya que sólo puede
regular las emisiones de spam con origen en máquina ubicadas en territorio nacional.
Es de destacar en este punto, que aunque la legislación española prohíba el spam
en casi todas sus formas, los datos que barajamos en el apartado 2.2.2.3. de este trabajo
(“Origen del spam por países”), mostraban que a fecha de marzo de 2003, España estaba
entre los 10 primeros países productores de spam. Este dato nos obliga a reflexionar
sobre la eficacia de la situación legislativa actual.
209
Gran parte de la información requerida para la elaboración de este apartado ha sido obtenida
de la página web www.spamlaws.com y www.ftc.gov, además de los artículos “El Congreso de USA
aprueba ley ' anti-spam'
” (24 de noviembre del 2003), www.conocimientosweb.net/dt; “EEUU limita el
spam” (24 de noviembre de 2003), www.vunet.com; “Legisladores de Estados Unidos legalizan el spam”
(27 de noviembre del 2003), http://www.conocimientosweb.net/dt; “Estados Unidos aprueba ley de
regulación del Spam” (02/12/2003), Guillem Alsina, http://diariored.com; “Multan a un ' spammer'con
93.000 euros tras aceptar los cargos” (14 de mayo de 2003), www.iblnews.com; “Internautas, empresas y
legisladores se unen contra la plaga del correo basura” (22 de mayo de 2003), www.iblnews.com; y del
estudio “Spam E-mail and Its Impact on IT Spending and Productivity” (diciembre de 2003), Spira, J. B.,
realizado por Basex Inc., www.basex.com.
210
Los principales resultados de este estudio se comentaron en los apartados 1.5., “Ejemplos de
estafas, prácticas fraudulentas y engañosas que realizan los spammers”, 2.1.2. “Naturaleza del spam”, y
2.4., “Análisis de las cabeceras de los mensajes”. En el estudio se analizó el spam recibido en 250
direcciones dispuestas en distintos sitios de Internet durante 6 meses.
211
Consultar el apartado 2.2., “Origen de las direcciones víctimas de spam.”
consentimiento del usuario, sino solamente dos formas específicas. De esta forma la
pregunta es rápida: ¿como van a saber las autoridades si se ha conseguido una dirección
de forma lícita o ilegal?
Por otra parte, se permite el envío de spam mediante opt-out212, lo que en la
práctica permite a los spammers continuar haciendo lo mismo que hasta ahora. En
efecto, muchas veces cuando nos damos de baja de una lista de spam, al día siguiente
empezamos a recibir mensajes de varias más. Esto es así porque muchos spammers dan
nuestra dirección de baja de forma efectiva, pero la revenden inmediatamente a otras
empresas o a sus propias filiales, que a partir de entonces empiezan a usarla con la
misma filosofía. En la práctica, esta ley podría venir a legalizar esta situación.
Además, presuponer que un usuario quiere recibir publicidad mientras no
indique lo contrario choca frontalmente con lo que piden la mayoría de agentes en la
lucha contra el spam, y que es el de que solamente reciban publicidad aquellos
internautas que lo consientan.
Al margen de la discusión de por qué tiene un usuario que borrarse de una lista
en la que nunca dio su consentimiento para que le incluyeran, está el hecho de la
tremenda generación de mensajes que conlleva la aceptación de las comunicaciones
comerciales mediante opt-out. El método de envío de mensajes de listas de e-mails
obtenidas a través de opt-out es insostenible, puesto que el número de e-mails que se
generarían como consecuencia de ello colapsaría el sistema de correo electrónico, si
sólo un porcentaje pequeño de empresas en Internet decidieran emplear este método de
promoción. Veámoslo con un ejemplo numérico. Si solamente “una décima parte del
1%” de los usuarios de Internet decidieran hacer envíos masivos de e-mails a una
velocidad moderada con un acceso vía módem y un PC, enviarían un promedio de
100.000 mensajes al día. Entonces todos los usuarios del mundo recibirían 100 mensajes
spam al día. Si el 1% de los usuarios hiciera ese número de envíos masivos, todos los
usuarios recibirían 1000 spam al día. Por ello no puede ser razonable permitir el uso del
método opt-out para las comunicaciones comerciales por e-mail, ya que sería como
pedir a la gente que enviara 100 mensajes cada día para darse de baja de una lista. Todo
ello que generaría un volumen de mensajes que no sería sostenible por las redes.
3.3.3. Conclusiones.
Tras el análisis de las leyes que legislan actividades relacionadas con el spam, en
el marco de España, la Unión Europea y de Estados Unidos, se llega a la conclusión de
que en muchas ocasiones la mentalidad de los gobiernos en materia de sociedad de la
información no siempre es la adecuada para combatir problemas tan importantes como
el spam. En la Unión Europea, tras la aprobación de la directiva sobre la privacidad y
las comunicaciones electrónicas, se insta a todos los países que la componen a prohibir
toda forma de comunicación comercial no solicitada y a la forma de envío basado en
opt-in. Sin embargo se deja un agujero a través del cual cualquier empresa puede enviar
las comunicaciones vía correo electrónico que desee siempre que el receptor haya sido
cliente suyo. Ello puede redundar en que el usuario se vea saturado de mensajes de
compañías de las que es cliente.
Al menos la situación anterior acota el spam de alguna manera. Sin embargo la
legislación aprobada en Estados Unidos, en mi opinión, lejos de intentar solucionar el
212
Los términos opt-in y opt-out, fueron adecuadamente explicados en el apartado 3.1.2.1. del
bloque II de este trabajo (“Clarificación del significado e implicaciones de los términos opt-in y opt-out”).
Por tanto se remite a él para mayor claridad, o al glosario de términos.
4.1.1. Introducción.
Las medidas de lucha contra el spam que se toman para que el mensaje que se
detecta como spam no llegue a recibirse en el servidor de correo electrónico, implican
que la transacción SMTP entre el servidor origen y el destino no finaliza con éxito, y
por tanto el mensaje es rechazado. Esta decisión se toma en función del perfil del
servidor que pretende enviar el mensaje, o de las características que presenta la cabecera
de los mensajes enviados durante el diálogo SMTP. Estas medidas intentan evitar tanto
la entrada de spam en el dominio, como presionar al origen para que no vuelva a
intentarlo, ya que éste recibe todos los mensajes de error que se generan al fallar cada
una de las transacciones SMTP necesarias para entregar cada mensaje.
Desde este punto de vista, las medidas que se puedan tomar son más
comprometidas para luchar contra el problema del spam de raíz. Sin embargo también
213
Los principales datos que se han utilizado para la elaboración de este apartado han sido
tomados de “Luchando contra la publicidad no deseada (o Spam) en el correo” (1 de febrero de 2003),
Katja y Guido Socher, LinuxFocus.org, http://www.linuxfocus.org/Castellano/January2003/article279.shtml,
de “Evaluación de Alternativas para Reducir el Spam” (mayo 2000), Sanz de las Heras, www.rediris.com
y de dos tutoriales: Tutorial sobre Sendmail (en www.seguridad.unam.mx/Tutoriales/Tutoriales
/sendmail/sendmail.html) y Tutorial sobre Postfix (2004-02-02) (en http://hal9000.eui.upm.es/halwiki/
Postfix).
son más injustas, puesto que catalogan a un servidor sin dar oportunidad a analizar si su
mensaje es spam o no.
Para adoptar este tipo de medidas es necesaria la configuración del servidor de
correo electrónico, y por tanto éste debe de ser lo suficientemente flexible como para
permitirlo. Los dos servidores más utilizados son Sendmail y el de Microsoft, que no
permiten mucha flexibilidad en su configuración, sin embargo siempre se puede optar
por servidores más flexibles, como Postfix y Exim214. Otra alternativa es utilizar un
servidor SMTP proxy flexiblefrente al servidor de correo electrónico para permitir este
tipo de configuraciónes. De esta forma si se quieren implementar en el servidor
determinadas medidas de filtrado de mensajes, y éste no lo permite, mediante un
servidor proxy podríamos conseguirlo sin necesidad de cambiar el servidor de correo.
A continuación se explica el empleo de listas negras y de otros métodos basados
en la configuración del servidor de correo electrónico, con el propósito de luchar contra
el spam antes de su recepción.
Las listas negras constituyen una medida de lucha contra el spam que intenta
actuar para que la transacción SMTP no se complete con éxito. De esta forma, el
mensaje no llega a entregarse, por lo que no se recibe en el servidor de destino. Se trata
de una de las medidas más antiguas y conocidas, y la experiencia demuestra que estas
listas bloquean entre el 1% y el 3% del spam. Empezaremos exponiendo sus orígenes.
A partir de mediados de los años 90, cuando el spam empezó a despertar, el
método más habitual de distribuirlo era usando estafetas ajenas open-relay215. Esto no
sólo consumía los recursos de la máquina (disco, CPU y líneas de comunicaciones),
sino que evitaban cualquier posible medida legal del país de origen. Muchos servidores
empezaron a actualizar su configuración para evitar el uso de sus recursos de forma
ilegal.
Simultáneamente, la excesiva cantidad de máquinas open-relay, provocó la
aparición de múltiples de iniciativas con diferentes técnicas para generar listas o bases
de datos que contuvieran un registro con los servidores abiertos que existían. Los
incluidos en dichas listas, significaba que eran poco fiables porque con mucha
probabilidad enviarían spam. La gran labor de las listas negras fue el hecho de obligar a
todos los servidores de correo a actualizarse. Por otra parte, dieron a conocer el gran
problema del spam, constituyéndose como el único mecanismo disponible para
combatirlo.
En un primer momento estas bases de datos sólo eran accesibles en local, por lo
que cada institución debía tener la suya y no existía coordinación entre ellas. Allá por el
1997 la iniciativa MAPS/RBL ideó un mecanismo de acceso remoto, en concreto vía
DNS (Domain Name System), que es el sistema utilizado hoy en día. Se trata de un
mecanismo que permite a los servidores de correo electrónico preguntar a dichas bases
de datos si la dirección IP (servidor de correo) que se que va a conectar a mi máquina
para comenzar una transacción SMTP, está o no está incluida. En caso que estuviera la
conexión se cierra, y en caso de que no, se continúa con la transacción. Evidentemente
estas listas negras disponían de herramientas para comprobar periódicamente si las
214
Consultar www.postfix.org y www.exim.org, donde se explican las posibilidades de
configuración de dichos servidores para combatir el spam.
215
Consultar el apartado 2.3., “La distribución del spam”, en el que se analiza y explica el tema
de las máquinas abiertas.
216
RFC 2821: Indica que cualquier servidor de correo debe disponer de una dirección de correo
tipo <postmaster@...>. “SMTP servers MUST NOT send notification messages about problems
transporting notification messages. One way to prevent loops in error reporting is to specify a null
reverse-path MAIL FROM:<>”.
217
RFC 1123: Se refiere a MTAs mal configurados que no soportan “Mail From:<>”, porque lo
usan falsamente como medida anti-spam (como por ejemplo Terra). “The syntax shown in RFC-821 for
the MAIL FROM: command omits the case of an empty path: "MAIL FROM: <>" (see RFC-821 Page
15). An empty reverse path MUST be supported”.
218
RFC 2142: Indica que cualquier servidor de correo debe disponer de una dirección de correo
tipo <abuse@..>
219
RFC954: Básicamente se refiere a direcciones IP que no disponen de datos correctos o
desactualizados en las bases de datos whois.
Tras describir cómo funcionan las listas negras, en este apartado expondremos
algunas técnicas comunes de filtrado basadas también en la configuración del servidor
de correo electrónico. En ellas, el servidor comprueba la naturaleza de la cabecera del
mensaje que se envía durante el diálogo SMTP, y en función de diferentes
características que presenta, puede calificarlo como spam y con ello no permitir que la
transacción acabe satisfactoriamente (con lo que el mensaje no será recibido).
Algunos servidores presentan muchas más opciones de las que presentamos
aquí, pero estas son las más comunes, que suelen estar disponibles cualquier buen
servidor. La ventaja de estas comprobaciones es que no usan mucha capacidad de
proceso, por lo que generalmente no se necesita actualizar el hardware del servidor para
implementarlas. Veamos algunas opciones:
• 8 caracteres no ASCII en la línea del asunto. Actualmente alrededor del 30% del
spam se origina en China, Taiwán o en otros países asiáticos. Si se está seguro de
que no se van a recibir mensajes en idiomas orientales (como chino, etc.) entonces
se puede rechazar mensajes de correo que tengan 8 caracteres no ASCII en el
asunto. Este método es bastante bueno y elimina entre 20-30% de los mensajes spam
que podrían llegar. Actualmente, esta medida está implementada en la mayoría de
los servidores, por lo que no es muy común encontrarse con spam que provenga de
estos países.
• Listas con direcciones en el campo “From:” (“De:”) de spammers conocidos.
Esto era efectivo en 1997, pero hoy en día no funcionaría, pues los spammers usan
direcciones falsas o direcciones de gente inocente220.
• Rechazar emisores de dominio desconocido. Algunos spammers usan direcciones
que no existen en el campo “From:”. No es posible comprobar la dirección
completa pero sí se puede conocer a priori la parte del nombre de dominio e
investigar si existe a través de un servidor DNS. Esto rechaza aproximadamente
entre el 10 y el 15% del spam. Esta medida es adecuada porque el usuario
normalmente no querría recibir esta clase de mensajes, ya que no podría
responderlos aún si no fueran spam.
• Dirección IP que no tiene registro en el DNS. Se comprueba que la dirección
desde la cual se recibe el mensaje pueda ser convertida en un nombre de dominio.
Esta medida rechaza bastantes mensajes, sin embargo no es una buena opción
porque no comprueba si el administrador del sistema del servidor de correo es
bueno, sino si tiene un buen proveedor de red vertical.
Para conseguir direcciones IP, los proveedores de servicio las compran de sus
servidores de red vertical y éstos, compran a servidores de red vertical mayores.
Esta cadena normalmente involucra a varios proveedores verticales, por lo que todos
tienen que configurar su DNS correctamente para que la cadena de comprobaciones
funcione. Si algún intermediario en el proceso comete un error o no quiere
configurarlo, entonces no funciona. En resumen, esta medida no aporta mucho con
respecto al carácter del servidor de correo individual que se encuentra al final de la
cadena, sino más bien del proceso anterior de configuración de direcciones.
• Requerir comando “HELO”. Cuando dos servidores de correo se comunican entre
sí vía SMTP, establecen un diálogo en el que primero envían el comando “HELO”,
que contiene entre otros datos, el nombre del servidor. Algunos programas de
software de spam no lo hacen, por lo que filtrar los mensajes que provengan de
transacciones de este tipo, rechaza entre 1-5% del spam.
• Requerir comando “HELO” y rechazar servidores desconocidos. Se trata de
tomar el nombre que se obtiene en el comando “HELO”, y comprobar en el DNS si
es un servidor correctamente registrado. Esta medida funciona en base a que un
spammer que usa una conexión telefónica temporal, generalmente no configurará un
registro DNS válido para ello. Con esta comprobación se bloquea aproximadamente
entre el 70 y el 80% del spam, pero también puede rechazar muchos mensajes
legítimos que provienen de sitios con múltiples servidores de correo en donde un
administrador del sistema olvidó de poner los nombres de todos los servidores en el
DNS.
Todas estas medidas contribuyen a rechazar un tanto por ciento del spam que
llega al servidor, sin embargo conllevan que un gran porcentaje de mensajes válidos
sean rechazados injustamente, por provenir de un servidor en el que no se han
configurado correctamente alguna de las características que se han comentado. En mi
220
Este aspecto ya se explicó en el apartado 2.4., “Análisis del spam mediante las cabeceras de
los mensajes”.
opinión, sería positivo rechazar por ejemplo mensajes en idiomas orientales, y rechazar
mensajes de emisores de dominio desconocido, ya que la mayoría de los spammers se
inventan este campo.
La ventaja de este tipo de medidas es que no representan un alto consumo de
capacidad de proceso en el servidor. Además, aunque se rechacen mensajes válidos, el
emisor recibirá un aviso en el que se advierte de que su mensaje no ha sido entregado,
por lo éste podrá tomar medidas al respecto. Por este motivo, al igual que los métodos
basados en listas negras, representa un tipo de medidas más comprometidas en la lucha
contra el spam.
4.2.1. Introducción.
221
Consultar el apartado 1.4., “Efectos del spam. Por qué es perjudicial.”
tanto, en este caso quien decide los mensajes que son calificados como spam es el
responsable del servidor.
Los filtros en los servidores solucionan los mismos problemas que los de cliente,
pero además evitan que el spam llegue al buzón de los usuarios con el
correspondiente ahorro de recursos que esto conlleva. Sin embargo, tiene el
inconveniente que se deja en manos de los responsables del servicio la creación de
las bases de datos de patrones de palabras utilizadas para filtrar el spam. De esta
forma el usuario no puede de ninguna forma controlar los mensajes que se están
filtrando. Para evitar que mensajes válidos no sean entregados, una acción habitual
es enviar un mensaje al receptor del e-mail spam interceptado, avisándole de lo
ocurrido. En él se adjuntan algunos datos del mensaje original, dándole la
posibilidad de reclamar en el caso de que lo considerara como válido en un periodo
de tiempo de algunos días. Esta medida es positiva porque de esta forma no se tiran
mensajes válidos sin consultar al destinatario, y además el usuario no ve el mensaje
(sólo los campos “From:”, “To:”,...), por lo que el administrador se asegura de que
el usuario no abrirá ningún mensaje spam. Por otro lado, mengua en gran parte la
ventaja del ahorro de recursos que el filtrado en el servidor proporciona, ya que
deben enviarse los mensajes de aviso. La elección de cómo llevarlo a cabo
dependerá del caso concreto ante el que nos hallemos.
Es importante destacar que el filtrado basado en contenidos (ya sea en el
servidor o en el usuario), no soluciona los efectos del spam en el ancho de banda de las
líneas de la empresa ni en los recursos del servidor, que por el contrario los debe
aumentar para poder soportar el consumo que implican los filtros.
Otro punto negativo de estas técnicas es que el servidor de correo que no entrega
los mensajes, no advierte de ninguna manera al emisor. Esto significa que un servidor
legítimo no recibirá ningún informe de aviso de que su correo se ha rechazado. El
mensaje simplemente desaparecerá, por ello no es completamente correcto ya que la
recepción de un mensaje realmente depende de las posibilidades del filtro.
Hasta ahora hemos estado diferenciando entre filtros de contenidos instalados en
el usuario final y en el servidor. A continuación vamos a exponer las características y
modo de funcionamiento concreto de los filtros de contenidos que se están usando
actualmente. Para ello realizamos otra clasificación, basada en si el algoritmo de filtrado
utiliza reglas estáticas, definidas por el administrador, o se basa en métodos estadísticos.
Así, distinguimos filtros estáticos, y filtros bayesianos o adaptativos.
Como veremos, los filtros adaptativos tienen un gran número de ventajas
respecto a los filtros estáticos, y en mi opinión serán los más usados conforme su
periodo de madurez llegue, y responsables y usuarios perciban a raíz de la experiencia
de uso si realmente sus características están por encima. En mi opinión las ventajas de
los filtros bayesianos son muchas, por lo que en este trabajo se estudiarán más en
profundidad. Veamos ahora cada uno de ellos.
Se trata de filtros que escanean el contenido de los mensajes que llegan en busca
de patrones de palabras o grupos de ellas que indiquen si se trata de un mensaje spam o
no. Los hemos denominado estáticos porque funcionan comparando los nuevos
mensajes con patrones fijos almacenados en una base de datos. El administrador debe
introducir y actualizar dichos patrones. Éstos se obtienen de varias maneras:
• A través del análisis de mensajes spam, uno mismo puede crearse una base de datos
con los patrones más usuales del spam que le llega, mediante herramientas
disponibles al efecto.
• Si se prefiere externalizar esta tarea, existen proveedores o empresas que se dedican
a interceptar spam, procesarlo para extraer los patrones más comunes, y generar
bases de datos que luego serán descargadas por las empresas clientes para configurar
sus filtros, en los servidores o en los usuarios finales.
• También han surgido iniciativas sin ánimo de lucro, en las que los usuarios envían el
spam que reciben, ofreciéndose como servicio el analizarlo y la tramitación de las
denuncias pertinentes. Además el spam es reutilizado para la obtención de los
patrones que sirven para detectarlo.
Este tipo de filtros de contenidos, instalados en los servidores, son una buena
solución corporativa contra el spam. Sin embargo la gestión de la base de datos de los
patrones usados es compleja, pues depende del idioma y del tipo de spam que se reciba,
además de requerir su actualización permanente. No obstante, están apareciendo
productos de empresas antivirus como TrendMicro (Emanager), McAfee (SpamKiller),
etc., que acompañando a los productos para evitar los virus también intentan combatir el
spam. Si lo pensamos, la filosofía de estos filtros es similar a la de los antivirus, ya que
igualmente que se escanean los mensajes en busca de patrones de virus, también se
escanean en busca de patrones de contenidos de spam. Estas empresas, igual que
mantienen y actualizan continuamente sus ficheros de virus, lo están haciendo también
con patrones de contenidos de spam.
4.2.3.1. Introducción.
222
La elaboración de este apartado ha sido posible en gran parte gracias a las ideas de Graham,
P. (www.paulgraham.com), junto con el material facilitado por los autores de las conferencias impartidas
en “Spamconference 2003” (www.spamconference.com).
relacionada con el dinero más veces que un usuario genérico, por lo que obtendría
muchos falsos positivos si utiliza una base de datos de reglas antispam general. El filtro
bayesiano, por otro lado, toma nota del correo saliente válido de la empresa (y reconoce
estas palabras relacionadas con el dinero como frecuentemente utilizadas en mensajes
legítimos), y por lo tanto tiene mucho mejor ratio de detección de spam y mucho menor
ratio de falsos positivos.
Después de que el usuario haya clasificado algunos mensajes, el filtro
comenzará a hacer esta diferenciación por sí mismo, y generalmente con un nivel muy
alto de la exactitud. Si el filtro incurre en una equivocación, el usuario re-clasifica el
mensaje, y el filtro aprende de sus errores. Por ello, los filtros bayesianos aumentan su
exactitud con tiempo. No se requiere ningún mantenimiento complicado después de que
el filtro esté instalado por lo que puede ser fácilmente utilizado por cualquier usuario.
De la explicación anterior se deduce que el filtro bayesiano no es estático, pues
se actualiza constantemente en base a los nuevos mensajes spam y válidos, aumentando
su rendimiento a lo largo del tiempo y adaptándose a los cambios en las tácticas de
spam y a los cambios de la clase de mensajes escritos por los usuarios.
223
Gráfico traducido a partir del material disponible sobre la conferencia “Spam Filtering. From
the Lab to the Real World”, Goodman, J., Microsoft Research. Obtenido de www.spamconference.com.
224
Según Graham, P. (2003), en su artículo “Is there a Bayesian Bayesian filter for Outlook?”.
225
Graham, P. (2003) en su artículo “Winning the War on spam: Comparison of Bayesian spam
filters”, del cual se ha extraído parte de la información utilizada para la confección este apartado, quería
realizar un análisis comparativo de los filtros bayesianos disponibles en el mercado para el usuario. En
nuestro caso, la principal conclusión perseguida al acudir a las conclusiones de este experimento es la de
poner de manifiesto cuáles son los parámetros reales y la eficacia de este tipo de filtros.
226
Las características en las que Graham, P. (2003) se basa para decidir según su opinión cuales
son los mejores filtros comerciales de ese momento son que pueda funcionar sobre Windows y Linux, que
funcione sobre formas de descargar el correo usando el protocolo POP3, que sea fácil de instalar, de
utilizar y sobre todo de realizar las clasificaciones de mensajes.
Tabla 15. Resumen del número de mensajes recibidos durante la realización de la prueba.
1º periodo 2º periodo
Máximo-mínimo número
30-2 70-20
de mensajes válidos al día.
Máximo-mínimo número
50-5 60-40
de mensajes válidos al día.
Máximo-mínimo número
60-30 130-60
total de mensajes al día.
En este gráfico podemos ver que realmente el filtrado bayesiano básico que
incorporan ambos filtros es más o menos igual si consideramos que éste califica todos
mensajes dudosos como correo válido para evitar falsos positivos.
La principal conclusión de la exposición de los resultados de este experimento es
que en total, con ambos filtros se consiguieron tasas de aciertos de 97.75% con pocos
falsos positivos, lo cual se considera bastante bueno. Sin embargo, pruebas realizadas en
cuentas de correo de otros usuarios demostraron que se pueden conseguir tasas del 99%.
ayuda en la clasificación del mensaje. Por ejemplo, un mensaje que se haya enviado en
horas de madrugada, es más probable que sea spam227.
A continuación, se adjunta un ejemplo del tipo de palabras del cuerpo del
mensaje que un filtro bayesiano califica con alta probabilidad de ser spam, que han sido
tomadas de un usuario concreto228. Después de cada palabra, aparece entre paréntesis la
probabilidad que le corresponde (a mayor probabilidad, más posibilidades de que el
mensaje que la contenga sea spam). Como se puede deducir de la explicación anterior,
estas palabras no son estándar ni iguales para todos los usuarios, sino que el propio filtro
las elige según los mensajes que han llegado al buzón de dicho usuario.
227
Consultar el apartado 2.1., “Análisis de la situación del spam en cifras. Estudios y
estadísticas”.
228
Las palabras que adjuntamos a continuación han sido tomadas de las pruebas efectuadas por
Bowers, J. (www.jerf.org) con un filtro bayesiano. Se trata de un usuario de lengua inglesa, por lo que las
palabras corresponden al inglés.
Ilustración 54. Ejemplos de palabras calificadas con bajas probabilidades de pertenecer a mensajes
spam. Fuente: www.jerf.org.
denotan que se trata de mensaje válido. Por ejemplo, no todo el correo que contiene las
palabras “free” y “cash” es spam. El método bayesiano encontraría relevantes las
palabras “cash” y “free” pero también reconocería el nombre del contacto de negocio
que envió el mensaje, y de ese modo lo clasificaría como legítimo, por ejemplo. En
otras palabras, el filtrado bayesiano es una estrategia más inteligente que otros métodos
porque examina todos los aspectos de un mensaje, en oposición al análisis de palabras
clave que clasifican un mensaje como spam en base a un solo conjunto de palabras fijo.
2. Un filtro bayesiano están constantemente auto-adaptándose. Mediante el
aprendizaje continuo a través de los nuevos mensajes (spam y válidos), el filtro
bayesiano evoluciona y se adapta a ellos. Así, si surgen nuevas técnicas spam, el filtro
aprenderá a reconocer el nuevo tipo de mensajes no deseados. Por otro lado, también se
reconfigura ante los posibles cambios que se den en el correo válido que llega al
usuario. De este modo, si éste comenzara a recibir mensajes de correo electrónico
deseado de una determinada lista de distribución relacionada con un tema que pueda
asociarse a mensajes spam, y del que antes nunca se había recibido ningún mensaje, el
filtro se adaptará y permitirá la entrada de este nuevo tipo de mensajes, pero no de
mensajes spam.
3. La técnica bayesiana es sensible al usuario. Para tener éxito y hacer que se
entreguen sus mensajes, los spammers tienen que enviar correo que no sea atrapado por
los filtros personalizados de la víctima. Como el método bayesiano tiene en cuenta el
perfil de correo del usuario, detecta el spam con mayor facilidad, pues los spammers
necesitarían saber el perfil de correo de dicho usuario para ser capaces de superarlo.
Dado que el spam tiene su propio vocabulario y carácter, el filtro bayesiano puede
atraparlo con facilidad. Sin embargo, no es sencillo para los spammers cambiar sus
argumentos de venta para tener en cuenta el perfil de correo del usuario, pues una de las
principales características del spam es que es masivo y no personalizado.
4. El método bayesiano funciona adaptándose a cualquier lengua y es
internacional. Un filtro antispam bayesiano al ser adaptable, puede utilizarse con
cualquier idioma necesario, siempre que éste utilice como separadores de palabras el
carácter espacio (“ ”). La mayoría de las listas de palabras clave indicadoras de spam
disponibles para filtros estáticos, sólo lo están en inglés y son por lo tanto mucho menos
útiles en regiones de habla no inglesa. El filtro bayesiano también tiene en cuenta ciertas
desviaciones del lenguaje o los diversos usos de ciertas palabras en áreas diferentes,
incluso si se habla el mismo idioma. Esta inteligencia lo habilita como un filtro más
efectivo.
5. Un filtro bayesiano es más difícil de burlar que un filtro de palabras. Para
intentar demostrar e ilustrar esta ventaja, a continuación vamos a enumerar las posibles
diversas técnicas que he observado que los spammers utilizan o podrían utilizar con la
intención de burlar el filtro, y cómo éste “aprendería” a detectarlas.
- Un spammer avanzado que quiera engañar a un filtro bayesiano podría elegir las
palabras de su mensaje de tal forma que utilizara menos palabras con alta
probabilidad de pertenecer a un mensaje spam (es decir, palabras que habitualmente
indican spam como free, Viagra, etc.), o más palabras que generalmente indican
correo válido (como un nombre de contacto válido, los apodos de los amigos o
términos que se usan normalmente en el ámbito laboral de cada usuario). Haciendo
lo último es imposible porque el spammer tendría que conocer el perfil de correo de
cada destinatario, y esto es imposible puesto que todos son diferentes. Además, si
los spammers intentaran burlar el filtro mediante palabras que normalmente se
califican como buenas, eso no sería suficiente porque en un mensaje spam típico, un
montón de palabras con alta probabilidad se encuentran ya en la cabecera. Estas
pornografía, etc., pues es muy difícil anunciar hipotecas sin usar ninguna de las palabras
como “préstamo”, “interés”, “hipoteca”, etc., que por otra parte son muy raramente
utilizadas en usuarios comunes.
Usar filtrado bayesiano en servidores de e-mail es algo más complejo que en los
buzones de compañías o de usuarios individuales, puesto que debe de haber una manera
para que los usuarios individualmente entrenen el filtro, ya que no es fácil establecer un
perfil correcto de todos los usuarios de un proveedor. Varios ejemplos de filtros
bayesianos que trabajan en servidores son SpamProbe, Razor y Bogofilter.
Es interesante comentar la filosofía de uso de Razor229. Se trata de un sistema de
detección y seguimiento de mensajes spam, distribuido y colaborativo. Su
funcionamiento está basado en que el spam típicamente opera enviando idénticos
mensajes a cientos de personas. El sistema de Razor permite que la primera persona que
reciba el spam, lo añada a la base de datos, para que el resto de las personas bloqueen
ese mensaje en concreto. Su algoritmo calcula sumas de verificación de estos mensajes
spam conocidos, y también se almacena en la base de datos distribuida. Si se recibe un
mensaje nuevo, se computa la suma de verificación y se compara con las sumas de
verificación en la base de datos central. Si coinciden, se rechaza el mensaje. Razor basa
su funcionamiento también en cuentas especiales de correo distribuidas en Internet con
el único propósito de ingresar en las listas de direcciones de todos los spammers. Estas
cuentas sólo captan spam y no correo normal y contribuyen a actualizar la base de datos.
Los clientes también pueden enviar mensajes a Razor para que el sistema los incluya.
La gran ventaja de este sistema es que existe una alta probabilidad de que los mensajes
ya sean conocidos como spam antes de que lleguen al buzón de correo. El sistema filtra
alrededor del 80% del spam con la característica de que no tiene ningún otro proceso o
técnica de filtrado, por lo que detecta muy pocos falsos positivos.
Otra alternativa para los filtros estadísticos en servidores es la utilización de
filtros basados en métodos heurísticos, que proporcionan mejores características en este
tipo de entornos. En efecto, según la empresa MessageLabs230, la tasa de spam filtrado
mediante técnicas bayesianas, que en usuarios individuales llega hasta el 99%, en
servidores desciende entre el 80 y el 95%. Sin embargo, los filtros basados en métodos
heurísticos, proporcionan en media un porcentaje de aciertos en torno al 95%.
229
Consultar http://razor.sf.net.
230
Documentación de la conferencia “Internet Level Spam Detection and SpamAssassin 2.50”,
Sergeant, M. (Senior Anti-Spam Technologist), MessageLabs, obtenido de www.spamconference.com.
231
Consultar el apartado 3.2.3., “Consejos a los PSI y los administradores de servidores de
correo electrónico.”.
qué se trata. Por ello estos mensajes pueden ser fácilmente capturados por los filtros de
contenidos.
Por otra parte, el filtrado de mensajes basado en contenidos como medida para
combatir el spam tiene una serie de aspectos negativos:
• El spam es encaminado por las líneas de comunicaciones y procesado como mínimo
por las estafetas de correo electrónico, por tanto no elimina los problemas del
consumo de recursos.
• Los mensajes deseados que se descartan pueden ser de gran importancia para el
usuario, y sin embargo ni emisor ni receptor son avisados. Esta característica
elimina la ventaja de que el correo electrónico es seguro, por lo que los emisores
deberían preocuparse de comprobar que sus mensajes han sido leídos por los
destinatarios. En contraposición, en el caso de uso de listas negras, se notifica al
remitente que su mensaje no ha sido entregado, por lo que éste puede tomar
medidas.
• No se trata de técnicas que tengan efectos en la erradicación del spam, desde el
punto de vista de que:
o Ni emisores ni proveedores responsables reciben ningún tipo de
información: no avisan al emisor o proveedor de servicios afectado de que se
está llevando a cabo una actividad incorrecta, con lo que éstos pueden
desconocerlo y ser también víctimas de los spammers.
o Lo que realmente se hace con los mensajes es esconderlos en lugares
habilitados al efecto (carpetas en el usuario final, o en directorios en el caso
de filtros en el servidor), pero realmente los mensajes son recibidos.
Presentadas las ventajas y desventajas de ambas filosofías de filtrado, a
continuación se resumen en la siguiente tabla sus características numéricamente, a modo
de tabla comparativa232.
Los resultados que hemos presentado acerca de las tasas de filtrado que pueden
llegar a conseguirse con técnicas estadísticas, podrían despertar esperanza en el hecho
de que el spam puede llegar a controlarse, sin embargo los límites del spam son
insospechados y habrá que ver qué nos depara el futuro.
232
“Filters vs. black list” (septiembre de 2002), Graham, P., www.paulgraham.com y
documentación de la conferencia “Internet Level Spam Detection and SpamAssassin 2.50”, Sergeant, M.
(Senior Anti-Spam Technologist), MessageLabs, obtenido de www.spamconference.com.
Según algunos grandes proveedores de Internet, que son los mayores afectados
por el spam desde el punto de vista económico, los filtros antispam no ofrecen una
solución decisiva a su problema, por lo que intentan buscar nuevas herramientas y
tácticas. Bill Gates, presidente del gigante del software y de Internet Microsoft, lidera
un movimiento que está empezando a tomar fuerza, y que apuesta por combatir el spam
haciendo que los spammers paguen los recursos que utilizan.
La razón por la que el spam representa hoy más de la mitad del tráfico en
Internet, es porque actualmente, el emisor (spammer) paga un precio marginal cercano a
cero por realizar sus envíos. Para los spammers, esta situación representa una estrategia
de beneficio seguro: “envía tanto como puedas, porque incluso un si un usuario de cada
millón se transforma en cliente, es rentable”.
Una solución obvia podría ser por tanto cobrar por el envío de estos mensajes.
En el World Economic Forum celebrado en Davos (Suiza) en enero de 2004, Bill Gates
de Microsoft defendió que la tecnología de filtrado junto con esquemas de pago podrían
frenar y eliminar el spam en dos años. Otras compañías también opinan que algún
sistema que haga pagar a los spammers por sus envíos, podría contribuir si no a eliminar
el spam, sí a reducir las pérdidas que deben afrontar los proveedores de servicio.
Veamos algunas ideas de varias empresas que se basan en este planteamiento:
• Según Richard Gingras, director de la compañía Goodmail Systems, su idea es
crear una especie de “sellos electrónicos”, de forma que los spammers que deseen
que sus envíos masivos sean entregados, asuman un coste por ello.
Por ejemplo, Amazon afirma que compraría un millón de “sellos de e-mail” a 0,01
dólares cada uno, si sus mensajes de confirmación automática de pedidos que le
reportan una parte importante de sus ventas, no fueran filtrados como spam por
error. Ello redundaría en un beneficio de 10.000 dólares para el proveedor de
servicio. Goodmail, como compañía encargada de la gestión de este sistema, pondría
los sellos a los mensajes de Amazon como cabeceras encriptadas, y enviaría la clave
para desencriptarlos al ISP. El ISP en este caso podría identificar los mensajes de
Amazon, y entregarlos a los buzones de los consumidores.
Bajo el sistema que propone Goodmail, los spammers serían libres de comprar estos
sellos, al igual que los que realizan buzoneo a través del sistema de correos
convencional. Sin embargo, esto introduciría en sus economías un gasto extra y
justo. En esta situación los mensajes de los spammers que no compraran los sellos,
serían ilegítimos y los proveedores podrían filtrarlos con mayor facilidad, con lo que
se reduciría el spam, incluso si el sistema es adoptado sólo parcialmente.
Sin embargo, según otras opiniones, este sistema podría ser inviable al tener que
procesar millones de paquetes de datos en los que se fragmenta cada mensaje,
tratando de separar los que deben cobrarse.
• Un método adicional, propuesto por la compañía IronPort System, no carga en los
emisores todo el coste de todos los mensajes, sino sólo los que hayan provocado una
queja de los receptores. Esta compañía ha venido ofreciendo desde hace poco más
de un año, un servicio a emisores masivos de mensajes, como son el caso de las
compañías que envían boletines electrónicos. Se trata de un contrato de tal forma
233
Parte de las ideas utilizadas en la elaboración de este apartado han sido tomadas del artículo
“Make' em pay” (12 de febrero de 2004), www.economist.com y “¡Guerra al Spam!” (5 de febrero de
2004), Guillem Alsina, www.diariored.com.
que, a cambio de previo pago, entrega sus mensajes a los receptores. Los emisores
deberán abonar además un pago extra si los emisores se quejan del mensaje. La idea
es disponer de una especie de lista blanca que eventualmente crece con los emisores
que sean calificados como honestos por los usuarios, y en otro caso, son incluidos en
listas negras.
• Alguna gente quiere ir más lejos. Balachander Krishnamurthy, de AT&T Labs,
proponía un sistema en el cual el ISP establecería un consorcio (similar al que
establecen los bancos con Visa), en el que el proveedor actuaría como modelador
entre el emisor y los usuarios. Se daría a los emisores que establecieran el contrato
un número de créditos limitados. Cada vez que un receptor declarara un mensaje
como no solicitado al modelador, se cobraría al emisor de ese mensaje 1 dólar, por
ejemplo. Una vez agotado el crédito asignado (por ejemplo 200 dólares), el
modelador suspendería el servicio a ese emisor.
Según esta corriente de opiniones, estos esquemas también servirían para
intentar solucionar otro gran problema: el envío de spam mediante la propagación de
virus, como el Sobig y el MyDoom234, que convierten a los ordenadores de usuarios
inocentes en máquinas de enviar spam. En el último sistema descrito, el crédito limitado
de los usuarios infectados por un virus de este tipo, se agotaría en pocos segundos, con
lo que pararía de propagarse. El PSI podría detectar que en estos casos los usuarios son
víctimas, y devolverles el servicio una vez solucionado el problema.
Sin embargo en mi opinión, estos sistemas basados en que la queja del usuario
revierta en un coste para el spammer, ocasionarían que aunque los problemas
económicos de los proveedores se verían atenuados, el problema de los usuarios se
incrementaría notablemente. En efecto, en esta situación les llegarían a su buzón
muchísimos mensajes más que en la situación actual, puesto que éstos llegarían con el
visto bueno del proveedor y no se filtrarían. Además el usuario debería emplear mucho
más tiempo en abrir los mensajes, decidir si son o no ofensivos, y efectuar una queja.
De hecho, la gran mayoría de los usuarios no se quejaría.
En conclusión, todos estos esquemas tienen el denominador común de que si el
proveedor detecta que un mensaje es “spam legítimo”, lo entrega. Por tanto estos
esquemas sólo están beneficiando a la gran empresa que realiza el spam y que le es
rentable pagar por él y al mismo proveedor, que consigue ingresos extra. Pero en ningún
caso se beneficia al usuario, que en esta situación se vería inundado de spam.
En este apartado se aconseja qué debe hacerse cuando recibimos spam, con el fin
de contribuir a la lucha para combatir el problema. Siempre podemos llevar a cabo
alguna acción desde nuestra posición, ya seamos usuarios, o administradores de correo
electrónico en alguna organización. Es importante destacar que todas las medidas que se
tomen para combatirlo contribuirán de forma importante a luchar contra el spam.
234
Consultar el apartado 3.2.3.1. del bloque II de este trabajo, “Mediante el uso de códigos
maliciosos.”
235
Algunas de las pautas a seguir recomendadas en este apartado, han sido tomadas de las
recomendaciones de la AUI (Asociación de Usuarios de Internet, www.aui.es), la AI (Asociación de
Internautas, www.internautas.org), y de la organización RedIris (www.rediris.es).
Las entidades de lucha contra el spam en general aconsejan que nunca se debe
actuar perdiendo la ética o la superioridad moral contra los sitios remitentes de spam o
de contenidos deshonestos, es decir, nunca amenazar con violencia, pagar con la misma
moneda efectuando envíos masivos de mensajes, atacar el sitio con métodos de piratería
electrónica o hacking, ni mediante ningún otro medio no ético. Como ya hemos
comentado, los spammers a menudo falsifican las cabeceras de los mensajes para
ocultar su identidad, y en su lugar añaden la identidad de terceros que son inocentes o
que no existen. Por tanto, si respondemos a la dirección origen que aparece en el
mensaje con más spam, lo único que conseguiremos será causar daños a gente inocente
o generar tráfico y colapsar la red.
Tampoco se debe nunca responder al mensaje de correo electrónico no deseado,
con el fin de que eliminen la dirección de correo de una supuesta lista. En efecto, en
algunas ocasiones el spam viene acompañado con una lista de nombres de quien se dice
que han expresado su deseo de recibir comunicaciones comerciales, y que puede
solicitar la baja de la lista cuando se quiera, pero en realidad a menudo sólo contiene
víctimas escogidas al azar, por lo que está incurriendo en un acto ilegal, según las leyes
de protección de datos236. Otras veces el mensaje spam dice que eliminarán su dirección
de correo de la lista de usuarios a los que les envía spam si así lo solicitan. Pero la
realidad es que casi nunca lo hacen, sino todo lo contrario: si se responde solicitando el
borrado de la lista, se está confirmando que la dirección está activa. Con esto nuestra
dirección de correo será incluida en otra lista de direcciones “activas”, es decir,
direcciones que existen y que son usadas, con lo que se recibirá más correo electrónico
no deseado.
Por otro lado, no debemos dejarnos convencer por los productos, servicios o
promociones que se anuncian en el spam, ya que en primer lugar se trata de una práctica
ilegal, y en segundo, suelen ser actividades fraudulentas o estafas237.
Lo que se debe hacer es efectuar una queja o denuncia. En ésta se debe incluir la
cabecera del e-mail (pues como ya hemos comentado238, contiene los datos que pueden
llevar a la identificación del spammer), una copia del mensaje original, y los motivos
que nos han llevado a efectuar la denuncia. Podemos enviarla al administrador de
nuestro proveedor de servicio de correo electrónico o PSI, para que él tome las medidas
pertinentes. Su dirección es normalmente postmaster@dominio_PSI o
abuse@dominio_PSI.
236
Consultar el apartado 3.1. del bloque II, “Breves apuntes sobre legislación y códigos éticos”.
237
Consultar el apartado 2.5., “Ejemplos de estafas y prácticas fraudulentas que realizan los
spammers”.
238
Consultar el apartado 3.2., “Análisis del spam mediante las cabeceras de los mensajes”.
Hotmail también posee una herramienta parecida con la que podemos elegir
entre varios niveles de filtrado: “predeterminado”, en el que identifica como spam los
mensajes más claros, “alto” que capturará la mayor parte del spam, aunque también
puede equivocarse con algún mensaje deseado, y “exclusivo”, con el que sólo llegarán a
la bandeja de entrada los mensajes de remitentes incluidos en la lista de contactos. Se
puede crear una lista negra propia de cada usuario mediante el bloqueo de remitentes.
Los mensajes que provienen de estos remitentes o de sus dominios, se eliminan
directamente sin llegar a ninguna carpeta de la cuenta del usuario. Así mismo se pueden
crear listas de remitentes seguros, cuyos mensajes nunca serán calificados como correo
no deseado por el filtro. Un aspecto a tener en cuenta, es que los mensajes que
provengan de algunas listas de distribución a las que estemos suscritos, puede que sean
calificados como correo no deseado si la configuración de los mensajes en el campo
“Para” no es la de nuestra cuenta de correo. Para que esto no ocurra, se presenta la
opción de calificar la dirección de la lista como “lista segura”. Otra opción interesante
para combatir el correo no deseado es la posibilidad de bloquear los gráficos con
formato HTML. Es una posibilidad útil para bloquear imágenes ofensivas o dispositivos
de rastreo como los web bugs, que están basados en imágenes transparentes239.
Yahoo! por su parte, complementando a las herramientas comentadas para
Hotmail, ha desarrollado un dispositivo para reducir la cantidad de spam que llega a las
cuentas de sus usuarios, denominada Spamguard. Se trata de unas baterías de filtros que
se reconfiguran en tiempo real, con ayuda de los propios usuarios. Así, Yahoo!
recomienda para ello hacer click en el enlace “es spam” en todos los mensajes de spam
que se salten el filtro para estudiarlos e incluir sus remitentes al sistema Spamguard con
el fin de ir mejorándolo.
Dejando a un lado el correo web o HTML, el cliente de correo más utilizado por
el usuario medio (sin conocimientos tecnológicos específicos) es Outlook de Microsoft.
Este cliente de correo en su última versión, ha incorporado herramientas específicas
contra el spam, basadas en filtrar las frases más usadas por los spammers. También
presenta otra opción que permite marcar un mensaje que no hemos solicitado y
automáticamente colocar al remitente en una especie de lista negra propia, para que sea
rechazado por el software cuando intente nuevamente enviar un mensaje. Aunque se
puede considerar un gran avance, ya que en versiones anteriores la única forma de
filtrado que presentaba era la opción de bloquear remitentes, estos tipos de filtrado no
son muy efectivos, como hemos venido comentando en este apartado. Sin embargo,
existen otras soluciones externas especializadas más efectivas que el usuario puede
agregar, e instalar para mejorar las que incorpora Outlook. Tres de las más populares
son240:
• Spam Attack Pro incorpora una lista de mensajes spam a la que se les puede ir
añadiendo otros mensajes propios. Puede conseguirse en la dirección
www.sofwiz.com/html/spam_attack_pro.htm.
• Spam Exterminator (www.unisyn.com/spamex) revisa automáticamente la carpeta
de correo en busca de spam, de acuerdo con una base de datos de 17 mil direcciones
que posee.
• Spamkiller (www.spamkiller.com) es uno de los más completos y puede trabajar
con diferentes tipos de filtros: puede detener los mensajes según el remitente,
palabras clave, el título o cualquier otra indicación que el usuario especifique.
239
Consultar el apartado 2.3.2. del bloque II (Web bugs).
240
“La mayoría de los cibernautas son víctimas del correo indeseado”, Tortello M. A.,
www.aui.es.
241
Graham, P. (2003), “FAQ: Is there a Bayesian Bayesian filter for Outlook?”.
242
Se puede encontrar información adicional de estos filtros en sus páginas web: de
“Spammunition” en www.upserve.com, de “SpamBayes” en
http://starship.python.net/crew/mhammond/spambayes, de “Spam Bully” en www.spambully.com, de
“InboxShield” en www.inboxshield.com, de “Junk-Out” en www.junk-out.com, de “Outclass” en
www.vargonsoft.com/Outclass, de “Disruptor OL” en www.disruptor.de, y por último de “SpamTiger” en
http://spamtiger.bemat.nl.
5. Conclusiones.
El correo electrónico es una herramienta de comunicaciones de gran alcance,
usada por millones de personas de miles de formas positivas. Desafortunadamente, al
igual que en cualquier situación donde se pueda ganar dinero, también tiene un gran
potencial para ser utilizada de manera abusiva.
La proliferación del spam se debe principalmente a que mediante mensajes
electrónicos se puede llegar a millones de clientes potenciales sin prácticamente ningún
coste. Por ello, aunque las tasas de respuesta del spam sean extremadamente bajas (en
torno a 0,0015% o 15 de cada millón), el spam es muy rentable para determinadas
personas y negocios. A esto se une la sencillez. En este trabajo hemos comentado cómo
sólo es necesario el software adecuado, una conexión a Internet, y una base de datos con
las direcciones de correo electrónico de destino. Sin embargo para el resto de la
comunidad Internet el spam produce graves daños, por lo que se constituye como uno
de los principales usos indebidos que se producen en este medio.
Como hemos venido ilustrando a lo largo de este bloque, el spam representa un
abuso para los proveedores implicados en proporcionar el servicio de correo electrónico,
que se deriva del afronte de grandes costes económicos. Estos gastos adicionales a los
que deben hacer frente, vienen dados por la capacidad de proceso, el espacio en disco y
el ancho de banda requerido para la entrega de miles de mensajes; y principalmente, por
el tiempo adicional de personal dedicado a solucionar estos problemas, sobre todo en
situaciones de saturación. Así, deben hacer frente a la mayor parte del coste de una
publicidad que sólo revierte inconvenientes tanto para ellos como para los usuarios.
Por otra parte, también representa un abuso para los receptores de los mensajes,
que se ven afectados desde el punto de vista de costes económicos, al tener que hacer
frente al gasto (en tiempo y dinero) de la recepción de estos mensajes lo quieran o no,
así como de repercusiones sociales. Estas consecuencias en el ámbito social se derivan
de la molestia y ofensa asociada a determinados contenidos, y a la inhibición del
derecho a publicar la propia dirección en medios como listas de noticias o páginas web,
por ejemplo, por miedo a que sea capturada. Además, el spam es un freno de la
confianza de los internautas, y por tanto para comercio electrónico, Internet, y el
adecuado desarrollo de la sociedad de la información en general.
La necesidad de luchar contra este problema ha quedado patente tras la
exposición realizada. Sin embargo, la mentalidad tanto de usuarios como de gobiernos
no siempre es la adecuada, normalmente por desconocimiento, por lo que es necesaria
una gran labor de información y formación en este ámbito.
Así, para intentar frenar el spam es necesario que cada uno pongamos algo de
nuestra parte. En primer lugar se debe procurar prevenir el spam dificultando que las
direcciones de correo electrónico estén accesibles en las páginas web, foros o chats,
tanto desde el punto de vista de la precaución del usuario cuando utilice alguno de estos
elementos, como desde el punto de vista del administrador. Estos agentes juegan un
papel importante en la prevención del spam al poder proteger las direcciones de correo
electrónico antes de hacerlas públicas, con el fin de que no lleguen a manos de los
spammers. En segundo lugar, los proveedores de servicio y administradores de correo
electrónico deben impedir el envío de spam controlando sus sistemas y sus políticas
institucionales, para evitar que los recursos que gestionan sean mal utilizados por sus
propios clientes o por spammers ajenos al servicio.
Para reducir el impacto que provoca el spam es necesario conocer tanto los
efectos y daños que produce, como las herramientas disponibles para combatirlo. En la
evaluación de las posibles soluciones habrá que incluir siempre varias alternativas, ya
sea desde el punto de vista del usuario o desde el punto de vista del administrador.
Si se es responsable del servicio de correo, se deberán tener en cuenta las
características de la empresa y su política, la posible ralentización del sistema de correo,
o las necesidades de los clientes a los que se da servicio, etc. La mejor solución pasa por
combinar adecuadamente las medidas estudiadas. De esta manera, se debe configurar
debidamente el servidor para evitar al máximo el spam que llega, realizando las
comprobaciones pertinentes de las transacciones SMTP como primera etapa de filtrado
de mensajes, y luego destruir el spam remanente en una segunda etapa con un filtro
post-proceso basado en contenidos, preferentemente estadístico o mixto. En el caso de
uso de filtros estáticos debemos ocuparnos de la gestión de la base de datos de patrones,
que deberá ser alimentada y actualizada continuamente con patrones propios para una
mayor efectividad. En el mercado existe un amplio abanico de productos para llevar a
cabo estas funciones.
Las medidas basadas en listas negras son también perfectamente viables, aunque
desde mi punto de vista son soluciones agresivas porque pueden llegar a rechazar correo
legítimo procedente de servidores etiquetados como indeseables. En este sentido es
necesario destacar que no nos debemos concentrar sólo en la definición unilateral de
listas negras en los servidores, pues si no se coordinan entre sí, el correo electrónico
podría deteriorarse más por ello que por los propios problemas que ocasionan los
abusos. De esta forma podría llegarse a la nada deseable situación en la que las
organizaciones sólo aceptaran mensajes de determinados dominios en base a acuerdos
de mutua confianza, y denegar el resto.
Si somos únicamente receptores de spam, debemos utilizar alguna buena
herramienta de filtrado e informar periódicamente a nuestro administrador (postmaster)
del tipo de correo electrónico no deseado que recibimos. Sin embargo, la mejor forma
que tiene el usuario de reducir los efectos del spam en sus cuentas de correo es la
prevención, de la manera que antes hemos explicado.
En el ámbito de las medidas para combatir el spam desde el punto de vista
legislativo, la Unión Europea busca la prohibición de las actividades relacionadas con el
problema a través de la aplicación efectiva de la legislación en los Estados miembros, la
adopción por parte de las empresas de normas de autorregulación, la sensibilización de
los consumidores, y la cooperación internacional. No obstante hemos visto que en
algunos países como Estados Unidos, que se encuentran entre los “primeros
productores” de correo electrónico no deseado, las leyes no ayudan mucho a prevenirlo
ni a erradicarlo. No obstante, el hecho de que exista una legislación que contemple
como ilegales aunque sólo sea algunas actividades relacionadas con el spam, constituye
un gran paso adelante. Tras haber analizado la situación en este sentido, aunque a priori
pareciera que era de vital importancia conseguir que el spam fuera ilegal, ha quedado
demostrado que no es ni mucho menos una medida realmente efectiva en la práctica
(por lo menos a corto plazo), dada la naturaleza global de Internet, y la imaginación de
los spammers (“quien hace la ley, hace la trampa”).
En mi opinión…
No existe una solución clara al problema, por lo que todos los afectados
(incluyendo los proveedores de servicio de Internet, la industria del software, las
compañías anunciantes, los gobiernos, los internautas y las asociaciones de usuarios)
deberían aunar sus esfuerzos en la misma dirección para luchar contra el spam.
Trabajando juntos se facilitaría el intercambio de ideas, la discusión del problema y la
difusión de la información adecuadamente, que ayudaría a definir una estrategia común
a seguir y a aplicar un paquete de soluciones. En la actualidad, cada uno de los agentes
nombrados intenta poner soluciones por su cuenta, y por ello no son eficaces.
La clave está en la aplicación de manera coordinada de todas las medidas de
prevención y de lucha explicadas, mejorando de forma conjunta algunas como la
legislación, y el software de filtrado. También introduciendo otras, como la creación de
un organismo central de control de anunciantes y usuarios (un organismo de
autorregulación), en el que se velara por el cumplimiento de unas determinadas normas.
Asimismo sería positivo que se iniciara una campaña de educación para usuarios, y
sobre todo para las compañías, de los daños reales que ocasiona el spam y de las
alternativas existentes.
6. Bibliografía.
6.1. Estudios.
6.2. Artículos.
• http://www.abuse.net.
• http://www.aui.es.
• http://www.aui.es/contraelspam.
• http://www.cauce.org y www.euro.cauce.org.
• http://www.dnsstuff.com.
• http://www.europa.eu.int/comm.
• http://www.europa.eu.int/pol/infso/index_es.htm.
• http://www.exim.org.
• http://www.ftc.gov.
• http://www.ftc.gov/bcp/conline/edcams/spam/index.html.
• http://www.ftc.gov/openrelay.
• http://www.internautas.org.
• http://www.mail-abuse.org.
• http://www.messagewall.org.
• http://www.ordb.org.
• http://www.postfix.org.
• http://www.procmail.org.
• http://www.razor.sf.net.
• http://www.rediris.es.
• http://www.rediris.es.
• http://www.rompecadenas.com.
• http://www.samspade.org.
• http://www.sendmail.org/antispam.html.
• http://www.spamassassin.org.
• http://www.spambouncer.org.
• http://www.spamcop.net.
• http://www.spamhaus.org.
• http://www.spamlaws.com.
• http://www.tuxedo.org/~esr/bogofilter.
• http://www.unicom.com/sw/blq.
• http://www.vanderreis.com.